unidad acadÉmica - repositorio pucesa: página de...
TRANSCRIPT
A
UNIDAD ACADÉMICA:
DEPARTAMENTO DE INVESTIGACIÓN Y POSTGRADOS
TEMA:
DISEÑO DE UNA METODOLOGÍA DE ADMINISTRACIÓN DE RIESGO OPERATIVO
PARA LA MINIMIZACIÓN DE PÉRDIDAS ECONÓMICAS, BASADA EN LA
RESOLUCIÓN SBS No. JB-834
Tesis previa a la obtención del título de:
Magister en Administración de Empresas mención en Planeación.
Línea de Investigación, Innovación y Desarrollo principal:
Gerencia, Planificación, Organización, Dirección y/o Control de Empresas
Caracterización técnica del trabajo:
Desarrollo (alternativamente Investigación o Innovación)
Autor:
Diana Gabriela Guerrero Soria
Director:
Eco. MG. Telmo Diego Proaño Córdova
Ambato – Ecuador
Mayo 2015
Diseño de una metodología de Administración de Riesgo
Operativo para la minimización de pérdidas económicas,
basada en la Resolución SBS No. JB-834
Informe de Trabajo de Titulación presentado
ante la
Pontificia Universidad Católica del Ecuador
Sede Ambato
Por:
Diana Gabriela Guerrero Soria
En cumplimiento parcial de los requisitos para el Grado de Magister en Administración de Empresas, Mención en Planeación
Departamento de Investigación y Postgrados Mayo 2015
Diseño de una metodología de Administración de
Riesgo Operativo para la minimización de pérdidas
económicas, basada en la Resolución SBS No. JB-834
Aprobado por:
Juan Ricardo Mayorga Zambrano, PhD
Presidente del Comité Calificador
Director DIP
Ing. Mg. Paúl Zurita
Miembro Calificador
Eco. MG. Telmo Diego Proaño Córdova
Miembro Calificador
Director de Proyecto
Dr. Hugo Altamirano Villaroel
Secretario General
Ing. Mgs. Eduardo Zambrano R.
Miembro Calificador
Fecha de aprobación:
Mayo 2015
iii
Ficha Técnica
Programa: Magister en Administración de Empresas, Mención en Planeación
Tema: Diseño de una metodología de administración de Riesgo Operativo para la minimización de
pérdidas económicas, basada en la Resolución SBS No, JB-834
Tipo de trabajo: Propuesta Metodológica y Tecnológica Avanzada
Clasificación técnica del trabajo: Desarrollo
Autor: Diana Gabriela Guerrero Soria
Director: Eco. Mg. Telmo Diego Proaño Córdova
Líneas de Investigación, Innovación y Desarrollo
Principal: Gerencia, Planificación, Organización, Dirección y/o Control de Empresas
Secundaria: N/A
Resumen Ejecutivo
El presente documento abarca el Diseño de un sistema modelo de Riesgo Operativo, y se enfoca
particularmente en el cumplimiento normativo y legal ecuatoriano según la resolución JB - 834
emitido por la Superintendencia de Bancos del Ecuador, el cual se refiere a la implementación
obligatoria en todas las Instituciones Financieras controladas por el ente referido, sobre la
Administración del Riesgo Operativo. [11]
Este tipo de riesgo se encuentra presente de manera implícita en el desarrollo cotidiano de los
procesos y se puede materializar por muchas causas, generando pérdidas en la organización. El
método aplicado en esta investigación es Inductivo – Deductivo, con el cual se estableció la
metodología propuesta, su objetivo es crear procedimientos que permitan Identificar riesgos de
manera temprana, medirlos y conocer el nivel de exposición que representan en la institución,
controlarlos a través de planes de acción en base al apetito de riesgos institucional y generar técnicas
de monitoreo del cumplimiento de mitigantes y del nivel de exposición. [7]
El sistema modelo propuesto ha sido probado en la práctica a través de una prueba piloto y ha
generado un resultado enriquecedor para la Institución. El mantenimiento y mejoramiento del
sistema dependerá del grado de compromiso por parte de la alta dirección y la difusión impartida a
los colaboradores de la entidad, es vital la participación activa de todos los miembros de la
organización.
iv
Declaración de Originalidad y Responsabilidad
Yo, Diana Gabriela Guerrero Soria, portador de la cédula de ciudadanía No. 1802693828, declaro
que los resultados obtenidos en el proyecto de titulación y presentados en el informe final, previo a la
obtención del título de Magister en Administración de Empresas, Mención en Planeación, son
absolutamente originales y personales. En tal virtud, declaro que el contenido, las conclusiones y los
efectos legales y académicos que se desprenden del trabajo propuesto, y luego de la redacción de este
documento, son y serán de mi sola y exclusiva responsabilidad legal y académica.
Diana Gabriela Guerrero Soria
CC: 1802693828
v
Dedicatoria
Andrés Camacho, mi esposo, quien mediante su apoyo y
ejemplo me ha enseñado que la dedicación y la
tenacidad realizan los sueños, y que el amor es lo más
importante en cada acción que emprendemos… Gracias!
Martina y Juliana, mis hijas, el fruto más puro de
nuestro amor, es por ellas que todo esfuerzo vale la
pena.
Iván y Anita, mis padres que me dieron la vida y el mejor
ejemplo, de quienes herede mis principios y valores, solo
me queda agradecerles por quien soy hoy!
Sin duda a DIOS, mi creador, mi luz, mi esperanza y mi
fe, por permitirme reír y llorar, por darme las
experiencias de vida que me han forjado y me han
enseñado la alegría de saber vivir en este mundo.
vi
Reconocimientos
Deseo extender un noble reconocimiento a:
Ing. Andrés Camacho, por su apoyo incondicional en la elaboración del proyecto de tesis.
Ing. Diego Proaño, Director de Tesis, quien con su total compromiso y colaboración ha aportado con
su conocimiento y experiencia al éxito del proyecto.
Dr. Juan Mayorga PhD, por sus sabios consejos, recomendaciones y notable apoyo en el proceso de
graduación de la maestría en curso.
Ing. Silvia Guerrero e Ing. Sandra Navas, quienes desinteresadamente han generado un valioso valor
agregado en el desarrollo del proyecto.
vii
Resumen
El presente documento abarca el Diseño de un sistema modelo de Riesgo Operativo, y se enfoca
particularmente en el cumplimiento normativo y legal ecuatoriano según la resolución JB - 834
emitido por la Superintendencia de Bancos del Ecuador, el cual se refiere a la implementación
obligatoria en todas las Instituciones Financieras controladas por el ente referido, sobre la
Administración del Riesgo Operativo. [11]
Este tipo de riesgo se encuentra presente de manera implícita en el desarrollo cotidiano de los
procesos y se puede materializar por muchas causas, generando pérdidas en la organización. El
método aplicado en esta investigación es Inductivo – Deductivo, con el cual se estableció la
metodología propuesta, su objetivo es crear procedimientos que permitan Identificar riesgos de
manera temprana, medirlos y conocer el nivel de exposición que representan en la institución,
controlarlos a través de planes de acción en base al apetito de riesgos institucional y generar técnicas
de monitoreo del cumplimiento de mitigantes y del nivel de exposición. [7]
El sistema modelo propuesto ha sido probado en la práctica a través de una prueba piloto y ha
generado un resultado enriquecedor para la Institución. El mantenimiento y mejoramiento del
sistema dependerá del grado de compromiso por parte de la alta dirección y la difusión impartida a
los colaboradores de la entidad, es vital la participación activa de todos los miembros de la
organización
Palabras claves: metodología, cumplimiento, riesgos, exposición.
.
viii
Abstract
The present document covers the design of an operational risk management system model; it
focusses particularly on compliance with laws and regulations in accordance with Resolution JB-834,
issued by the Superintendency of Banks of Ecuador, which refers to the mandatory implementation
of operational risk management in all financial institutions by the aforementioned entity. [11]
This type of risk is implicit in the running of daily processes and it may materialize due to various
causes, generating losses in the organization. The method applied in this research is inductive –
deductive, through which the proposed methodology was established, and aims to create procedures
that help to identify risks early, measuring them and determining the level of exposure they
represent to the organization, controlling them through action plans based on institutional risks, and
generating techniques which monitor the fulfillment of mitigating measures and the level exposure.
[7]
The proposed system model has been put into practice through a pilot test and has generated a
profitable result for the institution. The maintenance and improvement of this system will depend on
the degree of commitment of top management, and adequate training for the entity’s collaborators.
The active participation of all members in the organization is vital.
Keywords: methodology, fulfillment, risk, exposure.
ix
Tabla de Contenidos
Ficha Técnica ....................................................................................................................................... iii
Declaración de Originalidad y Responsabilidad ................................................................................... iv
Dedicatoria ........................................................................................................................................... v
Reconocimientos ................................................................................................................................. vi
Resumen ............................................................................................................................................. vii
Abstract ............................................................................................................................................. viii
Lista de Tablas ..................................................................................................................................... xi
Lista de Figuras ................................................................................................................................... xii
CAPÍTULOS.......................................................................................................................................... xii
1. Introducción ............................................................................................................................... 1
1.1. Presentación del trabajo ............................................................................................................ 1
1.2. Descripción del Documento ....................................................................................................... 1
2. Planteamiento de la Propuesta de Trabajo ................................................................................ 3
2.1. Información técnica básica ......................................................................................................... 3
2.2. Descripción del problema ........................................................................................................... 3
2.3. Preguntas básicas ....................................................................................................................... 4
2.4. Formulación de meta ................................................................................................................. 5
2.5. Objetivos .................................................................................................................................... 5
2.6. Delimitación funcional................................................................................................................ 5
3. Marco Teórico............................................................................................................................. 7
x
3.1. Definiciones y conceptos ............................................................................................................ 7
3.2. Estado del Arte ......................................................................................................................... 12
4. Metodología ............................................................................................................................. 14
4.1. Diagnóstico .............................................................................................................................. 14
4.2. Método(s) aplicado(s) .............................................................................................................. 14
5. Resultados ................................................................................................................................ 16
5.1. Producto Final .......................................................................................................................... 16
5.1.1. Procedimiento de Planificación ................................................................................................ 18
5.1.2. Procedimiento de Identificación ............................................................................................... 19
5.1.3. Procedimiento de Medición ..................................................................................................... 23
5.1.4. Procedimiento de Control.- ...................................................................................................... 30
5.1.5. Procedimiento de Monitoreo.- ................................................................................................. 33
5.2. Evaluación preliminar ............................................................................................................... 35
5.2.1. Procedimiento de Planificación.- .............................................................................................. 35
5.2.2. Procedimiento de Identificación.- ............................................................................................. 38
5.2.3. Procedimiento de Medición. .................................................................................................... 42
5.2.4. Procedimiento de Control.- ...................................................................................................... 44
5.2.5. Procedimiento de Monitoreo.- ................................................................................................. 47
5.3. Análisis de resultados ............................................................................................................... 50
6. Conclusiones y Recomendaciones ............................................................................................ 54
6.1. Conclusiones ............................................................................................................................ 54
6.2. Recomendaciones .................................................................................................................... 55
REFERENCIAS ...................................................................................................................................... 56
xi
Lista de Tablas
1.- Factor de Riesgo ............................................................................................................................. 20
2.- Tipo de Debilidades ........................................................................................................................ 21
3.- Metodología de Frecuencia ............................................................................................................ 23
4.- Definición de Frecuencia ................................................................................................................ 23
5.- Metodología de Impacto ................................................................................................................ 24
6.- Definición del Impacto ................................................................................................................... 24
7.- Matriz de Riesgos ........................................................................................................................... 25
8.- Categorías de Eventos .................................................................................................................... 27
9.- Objetivos de Mitigación.................................................................................................................. 30
10.- Contribución a la Mitigación ......................................................................................................... 30
11.- Planificación de Trabajo ............................................................................................................... 37
12.- Matriz Preliminar de Riesgos ........................................................................................................ 39
13.- Matriz de Riesgos con Factor y Tipo de Debilidad ......................................................................... 41
14.- Matriz de Riesgos con Medición de Impacto y Frecuencia ............................................................ 42
15.- Matriz con Nivel de Riesgos .......................................................................................................... 43
16.- Matriz de Riesgos Con Tipo de Riesgo Nivel 1 y 2.......................................................................... 44
17.- Matriz de Riesgos con planes de acción ........................................................................................ 45
18.- Formato para recolección de eventos de pérdida materializados ................................................. 51
19.- Base de datos modelo para pérdidas materializadas .................................................................... 52
xii
Lista de Figuras
1.- Modelo Genérico del Sistema de Riesgo Operativo ........................................................................ 16
2.- Caracterización del Proceso: Sistema de Administración de Riesgo Operativo ................................ 17
3.- Diagrama de Flujo Procedimiento de Planificación ......................................................................... 19
4.- Diagrama de Flujo Procedimiento de Identificación........................................................................ 22
5.- Matriz de Riesgos Gráfica ............................................................................................................... 26
6.- Diagrama de Flujo Procedimiento de Medición .............................................................................. 29
7.- Diagrama de Flujo Procedimiento de Control ................................................................................. 32
8.- Diagrama de Flujo Procedimiento de Monitoreo ............................................................................ 34
9.- Matriz con Nivel de Riesgos Gráfica ................................................................................................ 43
10.- Nivel de exposición de Riesgos – Otorgamiento de Crédito .......................................................... 47
11.- Nivel de exposición por Factor de Riesgo– Otorgamiento de Crédito............................................ 48
12.- Nivel de exposición por Tipo de Riesgo– Otorgamiento de Crédito ............................................... 48
13.- Nivel de exposición por Procesos– Otorgamiento de Crédito ....................................................... 49
14.- Nivel de exposición por Procedimientos– Otorgamiento de Crédito ............................................. 49
CAPÍTULOS
1
Capítulo 1
1. Introducción
1.1. Presentación del trabajo
Día a día dentro del desarrollo de los procesos las organizaciones tienen debilidades que no siempre
son visibles, o en el peor de los casos los colaboradores se han acostumbrado a vivir con ellas sin
percatarse de las pérdidas económicas directas o indirectas que causan a las empresas. [1]
Las Instituciones Financieras, debido al requerimiento normativo; deben incorporar en sus
procesos de Administración Integral de Riesgos un Sistema de Administración de Riesgo Operativo [11],
es aquí donde se tiene dos caminos, crear un sistema por cumplimiento legal, o crear un sistema con
convicción de su beneficio de tal manera que este agregue valor y tenga un verdadero apoyo de la alta
Dirección, siendo esta la única manera de garantizar su resultado y generar un proceso de mejora
continua proactivo y efectivo.
El Sistema modelo propuesto, cumple con todos los requerimientos legales [11] (Identificar, medir,
controlar/mitigar y monitorear Riesgos Operativos), de una manera simple y económica para las
Instituciones, generando información de calidad para los futuros requerimientos que vendrán por parte
del Organismo de Control, principalmente en la constitución de provisiones.
1.2. Descripción del Documento
El Capítulo 1 está compuesto por la presentación del trabajo y la descripción del documento.
2
El Capítulo 2 denominado “Planteamiento de la propuesta de trabajo” contiene información técnica
básica del Informe Final del Trabajo de Titulación, descripción del problema y preguntas básicas,
formulación de la meta y Objetivos
El Capítulo 3, es el Marco Teórico donde se han expuesto las principales definiciones técnicas,
establecidas por la normativa legal ecuatoriana de Riesgo Operativo.
El Capítulo 4 corresponde a la metodología de la investigación utilizada para el desarrollo del
trabajo.
El Capítulo 5 contiene los resultados obtenidos en el presente trabajo, en la primera parte se
describe paso a paso la metodología propuesta tanto descriptiva como gráfica, e incluye las
herramientas que pueden ser utilizadas. En la segunda parte se puede apreciar una aplicación real de la
metodología y en la parte final se resaltan los principales resultados alcanzados.
Finalmente el Capítulo 6, detalla las principales conclusiones y recomendaciones que se han
identificado a lo largo del trabajo y que son propuestos por la autora.
3
Capítulo 2
2. Planteamiento de la Propuesta de Trabajo
2.1. Información técnica básica
Tema: Diseño de una metodología de administración de riesgo operativo para la minimización de
pérdidas económicas, basada en la Resolución SBS No. JB 834.
Tipo de trabajo: Propuesta Metodológica y tecnológica avanzada.
Clasificación técnica del trabajo: Desarrollo
Líneas de Investigación, Innovación y Desarrollo:
Principal: Gerencia, Planificación, Organización, Dirección y/o Control de Empresas
2.2. Descripción del problema
Dentro de las empresas y en especial de las Instituciones Financieras existe implícitamente la
presencia del Riesgo Operativo, a través de los Factores de Riesgo identificado en la Resolución JB-834
emitido por la Superintendencia de Bancos y Seguros en Octubre del 2005, los cuales son: Procesos,
Personas, Tecnología de la Información y Eventos Externos. [6]
El verdadero problema se da, cuando un evento de Riesgo se materializa dentro de la organización, y
fruto de este incidente la institución debe registrar un tipo de pérdida que, dependiendo de su
frecuencia e impacto; podría poner en riesgo la estabilidad de la empresa. Es aquí donde se presenta el
4
gran reto de los Directores, de balancear los objetivos comerciales y de crecimiento con el grado de
incertidumbre dispuesta a aceptar y a exponer a la organización. [2]
Desarrollar e implementar un Sistema de Administración de Riesgo Operativo, es una medida
preventiva, que proactivamente ayuda a la Institución a Identificar, Medir, Controlar/Mitigar y
Monitorear los potenciales eventos de Riesgo, generando niveles de Riesgo aceptables y con sus
debidos rangos de tolerancia. [6]
Adicionalmente, para las Instituciones Controladas por la Superintendencia de Bancos del Ecuador
es un requisito obligatorio que se debe cumplir.
2.3. Preguntas básicas
¿Cómo aparece el problema que se pretende solucionar?
Como se mencionó en la “Descripción del Problema”, dentro de las empresas y en especial de las
Instituciones Financieras existe implícitamente la presencia del Riesgo Operativo, el cual se puede
materializar en cualquier momento, generando pérdidas económicas en la Institución. [8]
¿Por qué se origina?
Dentro de la Resolución JB-834 emitida por la Superintendencia de Bancos y Seguros, existe la
categorización de eventos [11] [5], estas son las razones por la cual se materializa un evento:
Fraude Interno
Fraude Externo
Relaciones laborales y seguridad en el puesto de trabajo
Prácticas con clientes, productos y negocios.
Daños de activos materiales
Incidencias del negocio y fallos en los sistemas
Ejecución, entrega y gestión de procesos
5
2.4. Formulación de meta
Generar una metodología general para la administración del Riesgo Operativo que permita a
Instituciones Financieras reguladas por la Superintendencia de Bancos del Ecuador dar cumplimiento
al requerimiento establecido.
2.5. Objetivos
Objetivo General: Diseñar un Sistema de administración de Riesgo Operativo, que permita identificar,
medir, controlar / mitigar y monitorear los riesgos de manera preventiva.
Objetivos Específicos:
Diseñar una metodología modelo para la gestión de riesgos operativos
Desarrollar los instrumentos / registros e instructivos necesarios para el desarrollo
metodológico.
Desarrollar modelos de reportes para el monitoreo de los riesgos
2.6. Delimitación funcional
Pregunta 1.- ¿Qué será capaz de hacer el producto final del proyecto de Titulación?
Este producto será capaz de identificar tempranamente potenciales eventos de riesgos y plantear
sus mitigantes, de tal manera que las entidades eviten incurrir en pérdidas económicas por la
materialización de riesgos operativos.
6
Este producto permitirá dar cumplimiento al requerimiento normativo emitido por la
Superintendencia de Bancos del Ecuador, en cuanto a la creación de un sistema de gestión de riesgo
operacional dentro de las Instituciones Financieras controladas.
7
Capítulo 3
3. Marco Teórico
3.1. Definiciones y conceptos
Conocer los conceptos de los diferentes autores dedicados a la investigación del Riesgo Operativo,
constituye la base para el desarrollo metodológico, por lo que se referencia las siguientes definiciones:
Según el Comité de Supervisión Bancaria de Basilea, se determina la siguiente definición:
“El Riesgo Operativo se define como el riesgo de pérdida debido a la inadecuación o a fallas de los
procesos, personas y los sistemas internos o bien a causa de acontecimientos externos. Esta definición
incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación”. [5]
Esta definición de Riesgo Operativo ha sido adoptada también por la Superintendencia de Bancos
del Perú [13].
Según el Autor José Ignacio Llaguno Musos, manifiesta lo siguiente:
“El Riesgo Operativo se inscribe en el subsistema operativo de las entidades de crédito, en el que se
ejecutan todas las transformaciones y resultados, positivos y negativos de estas entidades. La Gestión de
este riesgo pertenece por antonomasia a la denominada dirección operativa de la empresa. Por tanto, el
bagaje intelectual de la Economía de la Empresa, en todas sus dimensiones, de producción, de gestión del
conocimiento, etc., aporta y aportará nociones y recomendaciones de utilidad.” [10]
Según el Artículo 2, de la Sección I.- Alcance y Definiciones, del Capítulo I.- De la Gestión Integral y
Control de Riesgos, del Título X.- De la Gestión Integral de Riesgos, del Libro I.- Normas Generales para
8
la aplicación de la Ley General de Instituciones del Sistema Financiero [12], se determina los siguientes
conceptos relacionados a la Administración Integral de Riesgos:
Riesgo.- Es la posibilidad de que se produzca un hecho generador de pérdidas que afecten el valor
económico de las Instituciones. [12]
Administración de Riesgo.- Es el proceso mediante el cual las Instituciones del sistema financiero
identifican, miden, controlan / mitigan, y monitorean los riesgos inherentes al negocio, con el objetivo de
definir el perfil de riesgos, el grado de exposición que la institución está dispuesto a asumir en el desarrollo
del negocio y los mecanismos de cobertura, para proteger los recursos propios y de terceros que se
encentren bajo su control y administración. [12]
Riesgo Operativo.-Es la posibilidad de que se produzcan pérdidas debido a eventos originados en
fallas o insuficiencias de procesos, personas, sistemas internos, tecnología, y en la presencia de eventos
externos imprevistos. Incluye el riesgo legal pero excluye los riesgos sistémico y de reputación.
Agrupa una variedad de riegos relacionados con deficiencias de control interno; sistemas, procesos y
procedimientos inadecuados; errores humanos y fraudes; fallas en los sistemas informáticos; ocurrencia
de eventos externos o internos adversos, es decir, aquellos que afectan la capacidad de la Institución para
responder por sus compromisos de manera oportuna, o comprometen sus intereses. [12]
Exposición.-Está determinada por el riesgo asumido menos la cobertura implantada.” [12]
Según el Artículo 2, de la Sección I.- Alcance y Definiciones, del Capítulo V.- De la Gestión del Riesgo
Operativo, del Título X.- De la Gestión Integral de Riesgos, del Libro I.- Normas Generales para la
aplicación de la Ley General de Instituciones del Sistema Financiero [11], se determina las siguientes
definiciones:
“Evento de Riesgo Operativo.- Es el hecho que pueda derivar en pérdidas financieras para la
Institución controlada. [11]
9
Factor de Riesgo Operativo.- Es la causa primaria o el origen de un evento de riesgo operativo. Los
factores son los: procesos, personas, tecnología de la información y eventos externos. [11]
Proceso.- Es el conjunto de actividades que transforman insumos en productos o servicios con valor
para el cliente, sean internos o externos. [11]
Procedimiento.- Es el método que específica los pasos a seguir para cumplir un propósito
determinado. [11]
Proceso crítico.- Es el indispensable para la continuidad del negocio y las operaciones de la institución
controlada, y cuya falta de identificación o aplicación deficiente puede generar un impacto financiero
negativo. [11]
Riesgo Legal.- Es la probabilidad de que una institución del sistema financiero sufra pérdidas directas
o indirectas; de que sus activos se encuentren expuestos a situaciones de mayor vulnerabilidad; de que sus
pasivos y contingentes puedan verse incrementados más allá de los niveles esperados, o de que el
desarrollo de sus operaciones enfrente la negligencia, impericia, imprudencia o dolo, que deriven de la
inobservancia, incorrecta o inoportuna aplicación de disposiciones legales o normativas, así como de
instrucciones de carácter general o particular emanadas por los organismos de control, dentro de sus
respectivas competencias; o; en sentencias o resoluciones jurisdiccionales o administrativas adversas, o de
la deficiente redacción de los textos, formalización o ejecución de actos, contratos o transacciones,
inclusive distintos a los de su giro de negocio o porque los derechos de las partes contractuales no han
sido claramente estipuladas. [11]
Según la Resolución SBS No. 2116 – 2009 emitida por el Superintendente de Banca, Seguros y
Administradores Privados de Fondos de Pensiones del Perú [13], Artículo 2, emite las siguientes
definiciones:
“Apetito de Riesgo.- El nivel de Riesgo que la empresa está dispuesta a asumir en su búsqueda de
rentabilidad y valor [13].
Directorio.- Toda referencia al directorio, entiéndase realizada también a cualquier órgano
equivalente [13].
10
Evento.- Un suceso o serie de sucesos que pueden ser internos o externos a la empresa, originados por
la misma causa, que ocurren durante el mismo periodo de tiempo [13].
Evento de pérdida por riesgo operacional.- El evento que conduce a una o varias pérdidas, cuyo
origen corresponde al riesgo operacional [13].
Información.- Cualquier forma de registro electrónico, óptico, magnético o en otros medios,
susceptible de ser procesada, distribuida y almacenada [13].
Proceso.- Conjunto de actividades, tareas y procedimientos organizados y repetibles que producen un
resultado esperado [13].
Riesgo legal.- Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de
contratos o acuerdos, al incumplimiento no intencional de las normas, así como a factores externos, tales
como cambios regulatorios, procesos judiciales, entre otros [13].
Tolerancia al riesgo.- El nivel de variación que la empresa está dispuesta a asumir en caso de
desviación de los objetivos empresariales trazados [13]”.
Según la norma AS/NZS 4360:1999 Estándar Australiano Administración de Riesgos [3], se define lo
siguiente:
“Aceptación de riesgo: una decisión informada de aceptar las consecuencias y probabilidad de un
riesgo en particular. [3]
Administración de riesgos: la cultura, procesos y estructuras que están dirigidas hacia la
administración efectiva de oportunidades potenciales y efectos adversos. [3]
Análisis de riesgo: un uso sistemático de la información disponible para determinar cuan
frecuentemente pueden ocurrir eventos especificados y la magnitud de sus consecuencias. [3]
Consecuencia: el producto de un evento expresado cualitativa o cuantitativamente, sea este una
pérdida, perjuicio, desventaja o ganancia. Podría haber un rango de productos posibles asociados a un
evento. [3]
Control de riesgos: la parte de administración de riesgos que involucra la implementación de
políticas, estándares, procedimientos y cambios físicos para eliminar o minimizar los riesgos adversos. [3]
11
Evaluación de riesgos: el proceso utilizado para determinar las prioridades de administración de
riesgos comparando el nivel de riesgo respecto de estándares predeterminados, niveles de riesgo objetivos
u otro criterio. [3]
Evento: un incidente o situación, que ocurre en un lugar particular durante un intervalo de tiempo
particular. [3]
Evitar un riesgo: una decisión informada de no verse involucrado en una situación de riesgo. [3]
Frecuencia: una medida del coeficiente de ocurrencia de un evento expresado como la cantidad de
ocurrencias de un evento en un tiempo dado. [3]
Identificación de riesgos: el proceso de determinar qué puede suceder, por qué y cómo. [3]
Ingeniería de riesgos: la aplicación de principios y métodos de ingeniería a la administración de
riesgos. [3]
Monitoreo: comprobar, supervisar, observar críticamente, o registrar el progreso de una actividad,
acción o sistema en forma sistemática para identificar cambios. [3]
Pérdida: cualquier consecuencia negativa, financiera o de otro tipo. [3]
Probabilidad: la probabilidad de un evento específico o resultado, medido por el coeficiente de eventos
o resultados específicos en relación a la cantidad total de posibles eventos o resultados. La probabilidad se
expresa como un número entre 0 y 1, donde 0 indica un evento o resultado imposible y 1 indica un evento o
resultado cierto. [3]
Probabilidad: utilizado como una descripción cualitativa de probabilidad o frecuencia. [3]
Proceso de administración de riesgos: la aplicación sistemática de políticas, procedimientos y
prácticas de administración a las tareas de establecer el contexto, identificar, analizar, evaluar, tratar,
monitorear y comunicar riesgos. [3]
Reducción de riesgos: una aplicación selectiva de técnicas apropiadas y principios de administración
para reducir las probabilidades de una ocurrencia, o sus consecuencias, o ambas. [3]
Riesgo residual: el nivel restante de riesgo luego de tomar medidas de tratamiento del riesgo. [3]
Riesgo: la posibilidad de que suceda algo que tendrá un impacto sobre los objetivos. Se lo mide en
términos de consecuencias y probabilidades. [3]
12
Transferir riesgos: cambiar la responsabilidad o carga por las pérdidas a una tercera parte mediante
legislación, contrato, seguros u otros medios. Transferir riesgos también se puede referir a cambiar un
riesgo físico, o parte el mismo a otro sitio. [3]
Tratamiento de riesgos: selección e implementación de opciones apropiadas para tratar el riesgo” [3]
Comprendemos que las redacciones entre los diferentes autores varían, sin embargo las
definiciones conceptuales son similares y mantienen el mismo espíritu entre sí.
El concepto general al cual se enfoca la metodología propuesta en esta investigación, es
principalmente la emitida en la normativa ecuatoriana [11], la cual excluye los riesgos generados en el
entorno político, económico y social.
3.2. Estado del Arte
En el Ecuador el Sector financiero a través de la Superintendencia de Bancos y Seguros ha sido la
pionera en generar una normativa de Riesgo Operacional la cual ha tenido vigencia por casi 10 años.
Las Instituciones Financieras controladas, tienen la obligación de cumplir con este requerimiento
normativo para lo cual empresas consultoras de Riesgos han desarrollado diferentes tipos de
metodologías basadas en mejores prácticas internacionales, lamentablemente no todas las empresas
tienen los recursos para acceder a este tipo de consultorías que generalmente están concentradas en
las ciudades de Quito y Guayaquil. [10]
La Superintendencia de Bancos y Seguros del vecino país Perú, comprendiendo la importancia de
controlar el Riesgo Operacional [13] ha generado constantes innovaciones y mejoras en la normativa
legal, generando requerimientos de información periódica de las Instituciones Financieras al organismo
de control en referencia, y requerimientos de capital a través de modelos de cálculo de provisiones, que
dependiendo de la madurez de los Sistemas, las empresas deben aplicarlo. Estos modelos se encuentran
expuestos en Basilea II, Pilar I, el cual propone tres enfoques para calcular requerimientos de capital
13
por Riesgo Operativo, en orden creciente de complejidad y sensibilidad al riesgo, estos son: Método de
Indicar Básico (BIA); Método Estándar (TSA) y una extensión del mismo denominada Método Estándar
Alternativo (ASA); y, Método de Medición Avanzado (AMA). [5]
Claramente se puede concluir que este tipo de requerimientos serán incorporados en la normativa
nacional en el mediano o largo plazo, por lo que es de vital importancia para las Instituciones
controladas estar preparadas y tener Sistemas de Riesgo Operativo eficientes y que aporten con
información que permita generar la menor cantidad de requerimientos de capital y así mantener
procesos controlados dentro del desarrollo de sus funciones, es por esto que se ha propuesto la
creación de modelo metodológico de Riesgo Operativo que sea comprensible y de fácil aplicación para
cualquier Institución Financiera, la cual estará orientada principalmente en el cumplimiento normativo
y legal ecuatoriano.
14
Capítulo 4
4. Metodología
4.1. Diagnóstico
Para la obtención de datos en primera instancia se realizó una investigación bibliográfica donde
principalmente se analiza las Resolución emitida para entender con claridad los requisitos requeridos.
Adicionalmente se investigó la resolución emitida por el vecino país Perú, y a varios autores
dedicados a la asesoría en Riesgos y Control Interno, como son: Committe of Sponsoring Organizations
of the Treadway Commission (COSO) [6] [7], Ana Fernandez-Laviada [1], Carlos Heredia [8], Estándar
Australiano en Administración de Riesgos [3], entre otros.
Luego y con el apoyo de una Institución Financiera del entorno, que solicitó mantener su nombre en
anonimato, debido a las políticas internas institucionales, se procedió a realizar un plan piloto de la
implementación de la Metodología propuesta por la autora, cuyos resultados se presentan en el
Capítulo 5, en el subtítulo 5.1 Evaluación Preliminar.
4.2. Método(s) aplicado(s)
Para el presente trabajo se ha aplicado el método Inductivo – Deductivo con el cual se procedió al
desarrollo de la metodología del Sistema modelo de Administración de Riesgo Operativo, la
metodología fue aplicada tanto en la investigación bibliográfica como en el levantamiento de la
información en campo.
15
Se aplicó en la investigación bibliográfica a través de la lectura de libros, documentos, blogs, y
experiencias reales en cuanto a la Gestión del Riesgo Operativo, tanto a nivel nacional como
internacional, en especial los países más cercanos al Ecuador.
En la investigación de campo para entender el día a día de los procesos y ejecutar una aplicación
real de la metodología propuesta, de tal manera que en la práctica se pueda realizar las correcciones o
afinaciones metodológicas necesarias y conforme a la realidad de la Institución.
Las técnicas utilizadas en la investigación fueron:
Entrevistas.-
o A consultores y asesores en la materia de Administración Integral de Riesgos;
o A Auditores Internos de Instituciones financieras, que tienen la obligación de velar
por el cumplimiento de los requisitos legales y reglamentarios dentro de la
compañía;
o A los principales funcionarios relacionados al proceso evaluado dentro de la
metodología propuesta por la autora.
Observación Directa.-
o En la ejecución diaria de los procesos organizacionales, para entender actividades,
responsabilidades, herramientas tecnológicas y herramientas del proceso.
Recopilación de datos.-
o A través de talleres de trabajo estructurados dentro de una planificación de
trabajo, dentro de la Institución donde se aplicó el plan piloto de la metodología.
16
Capítulo 5
5. Resultados
5.1. Producto Final
La Administración de Riesgo Operativo debe ser un proceso continuo que cumpla al menos con las 4
etapas contempladas en la Resolución JB-834 emitida por la Superintendencia de Bancos del Ecuador
[4], adicionalmente para el modelo genérico propuesto se plantea integrar una etapa más de
Planificación:
Figura 1.- Modelo Genérico del Sistema de Riesgo Operativo
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
Con el objetivo de comprender de manera macro el funcionamiento del Sistema propuesto, en la
Figura 2 se detalla una caracterización general del proceso con sus principales elementos.
1.- Planificar
2.- Identificar
3.- Medir 4.- Controlar
/ Mitigar
5.- Monitorear
17
Figura 2.- Caracterización del Proceso: Sistema de Administración de Riesgo Operativo
02-abr-15
Proveedor Cliente
Gestión de Procesos Gestión de Procesos
Gerencia General
Directorio
Equipos de computo Papelería Sala de Reuniones
Equipo de trabajo relacionado al proceso en evaluación Impresoras Correo electrónico interno Proyector
Teléfono Muebles de oficina Pizarra y material de oficina
Frecuencia Responsable de Medir Responsable de Gestionar Observaciones
Matriz de Riesgos Aprobada
Identificación de debilidades, definición de Riesgos potenciales,
determinación de tipo de pérdidas, clasificación de factor de riesgos y tipo
de debilidad
Medición de riesgos (frecuencia e impacto), determinación de nivel de
riesgos, definición de procesos y procedimientos afectados y selección de
tipo de riesgos
Decisión de los procesos a ser evaluados
Matriz con Riesgos identificadosComité de Administración Integral de Riesgos
(CAIR)
Matriz con Riesgos Identificados
Matriz con Riesgos Medidos
n/a
1.- Matriz de Procesos Críticos
2.- Acta de Reunión
3.- Matriz preliminar de Riesgos
4.- Matriz con Riesgos Identificados
5.- Matriz con Riesgos Medidos
6.- Matriz con nivel de Riesgos
7.- Matriz de Riesgos por tipo de Riesgo
8.- Matriz de Riesgos con Planes de acción
9.- Seguimientos de planes de acción
10.- Informe de Riesgo Operativo
Comité de Administración
Integral de Riesgos (CAIR)
Planificación de ciclos de trabajo
Matriz con Riesgos Medidos
Evaluación de Procesos Críticos Institucionales
Procedimientos de Planificación
Procedimientos de Identificación
Procedimientos de Medición
Procedimientos de Control y Mitigación
Procedimientos de Monitoreo
CAIR
Riesgo Operativo Dueño del Proceso
Caracterización de Procesos
FECHA DE ACTUALIZACIÓN:Sistema de Administración de Riesgo OperativoPROCESO:
OBJETIVO:
ALCANCE:
DUEÑO DEL PROCESO:
Definición de planes de acción, objetivos y contribución a la mitigación de
riesgos
Establecer el Sistema de Administración de Riesgo Operativo, detallando las etapas de Planificación, Medición, Control y Monitoreo; mitigando las debilidades identificadas y controlando el Nivel de Riesgo
aceptado y no aceptado por la Institución.
Desde la Planificación de los ciclos, en base a los procesos críticos de la Institución, hasta el seguimiento y cierre de planes de acción; monitoreando y reportando el Nivel de Riesgo de la Institución.
Responsable de Riesgo Operativo
Decisión sobre procesos a ser evaluados por ciclos
Documentación:
Métodos y Criterios / Registros
Procedimientos e Instructivos
ACTIVIDADESENTRADAS
Registros, Documentos Generales
SALIDAS
Monitoreo y reportes del avance de los planes de mitigación y del nivel de
riesgos del proceso evaluado
Recursos necesarios
Humanos Materiales / Otros
Normativa Externa relacionada Capítulo V.- De la Gestión del Riesgo Operativo, del Título X.- De la Gestión Integral de Riesgos, del Libro I.- Normas Generales para la aplicación de la Ley General de Instituciones del Sistema Financiero
Responsables de Planes de acción
Responsable de Riesgo Operativo
Trimestral
Indicador(es) de Gestión
Indicador Fórmula
Nivel de Exposición de Riesgos InstitucionalCantidad de riesgos altos y catastróficos /
Total de riesgos identificados
Nivel de Exposición de Riesgos por Proceso
Cantidad de riesgos altos y catastróficos por
proceso /
Total de riesgos identificados por proceso
Mensual
Jefe de Riesgos Riesgo Operativo n/a
Identificación de Riesgos
Reportes de Riesgo Operativo
Matriz de Riesgos aprobados
18
A continuación se describe la metodología para cada etapa del modelo propuesto, la cual incluye
Riesgo Operativo inherente al desarrollo de las actividades de la Institución:
5.1.1. Procedimiento de Planificación
Periódicamente a través de una matriz de ponderación de Procesos Críticos, el CAIR (Comité de
Administración Integral de Riesgo) debe decidir qué proceso organizacional será evaluado por el
Sistema de Riesgo Operativo.
Esta decisión debe estar documentada en actas y debe ser difundida a los colaboradores
involucrados en el proceso.
El Responsable de Riesgo Operativo, debe realizar una Planificación de Trabajo que será
sociabilizado con el equipo de trabajo definido.
Idealmente el equipo de trabajo debe estar conformado al menos por las siguientes funciones:
Dueño del proceso
Oficial de Cumplimiento
Oficial de Seguridad de la Información
Auditor Interno
Responsable de Riesgo Operativo
Y los demás que de alguna manera se interrelacionen con el proceso evaluado
19
Figura 3.- Diagrama de Flujo Procedimiento de Planificación
Diagrama de Flujo Planificación
PROVEEDOR ENTRADA CAIR SALIDA CLIENTE
Sistema de
Administración
de Riesgo
Operativo
Evalúa la información
y toma la decisión de
que ciclos se
ejecutarán en el
periodo
Identificación
de Riesgos
Definición de
procesos críticos
de la Institución
1
Decisión sobre los
procesos a ser
evaluados
2
DOCUMENTOS:1.- Matriz de Procesos Críticos
2.- Acta de Reunión
Nomenclatura de Diagramas de Flujo utilizado.
SUBPROCESO PROCESO DOCUMENTO DECISION CONECTOR
FO
RM
AS
Fuente: Investigación de Campo
Elaboración: GUERRERO, Diana (2015)
5.1.2. Procedimiento de Identificación
El Responsable de Riesgo Operativo previa la ejecución de los talleres de trabajo, debe revisar la
documentación relacionada al proceso evaluado, por ejemplo: Normativas legales vigentes,
Resoluciones emitidas por los organismos de control, Manuales políticas y procedimientos internos,
Instructivos, Registros, Actas de reuniones, Informes de Auditoria interna y externa, Informes de
Calificadora de Riesgos, entre otros.
Con esta información el Responsable de Riesgo Operativo debe identificar debilidades al proceso
evaluado y define potenciales eventos de riesgo operativo. Un Potencial evento de Riesgo Operativo
debe tener asociado un tipo de pérdida, que pueden ser:
20
Disminución en el valor de los Activos Financieros.- consiste en la reducción directa del
valor de los activos debido a robo, fraude, actividad no autorizada, o pérdidas de mercado
o de crédito resultantes de eventos operacionales.
Pérdida o Daños en Activos Materiales.- reducción directa en el valor de los activos
físicos debido a algún tipo de accidente (negligencia, accidente, fuego, terremoto, etc.).
Indemnizaciones / Restituciones.- pagos a terceros por restitución de impactos sufridos
por eventos de riesgo operativo en los que la Entidad es responsable.
Multas y Sanciones (de regulación, de cumplimiento y fiscales).- multas o el costo
directo de cualquier otra penalización (revocación de licencias, etc.).
Pérdidas de Contraparte.- pérdidas incurridas cuando un tercero no honra sus
obligaciones con la Entidad a consecuencia de error o evento operacional (i.e. que
pudieron haberse evitado a pesar del rechazo o la incapacidad de la contraparte a pagar).
Responsabilidad Legal.- costos por juicios, liquidaciones y otros de índole legal.
Con la información levantada en los pasos anteriores, el Responsable de Riesgo Operativo levanta la
Matriz preliminar de Riesgos y convoca al equipo de trabajo para el taller de revisión.
El equipo de trabajo en el taller convocado, debe ratificar o descartar la existencia de los Riesgo
presentados y de la debilidad asociada a cada Riesgo. Además debe clasificarlos por Factor de Riesgos,
por tipo de Debilidad según las tablas 1 y 2.
Tabla 1.- Factor de Riesgo
1 Procesos
2 Personas
3 Tecnología de la información
4 Eventos Externos
Fuente: Resolución JB-834 Superintendencia de Bancos y Seguros
Elaboración: GUERRERO, Diana (2015)
21
Tabla 2.- Tipo de Debilidades
No. Factor de Riesgo Tipo de Debilidad por Factor
1 Procesos
Inadecuado diseño de Procesos / Productos Proceso no documentado Ausencia de políticas Políticas inadecuadas Capacidad instalada insuficiente Falta de automatización de los procesos Información desactualizada Debilidades en el control interno Debilidades en la seguridad física Contratos inadecuados / incompletos Selección inadecuada de los proveedores Ausencia de un plan de contingencia Inadecuada implementación de Procesos / Productos Deficiencias en el proceso de generación y manejo de información Documentación incompleta
2 Personas
Perfil inadecuado Rotación inadecuada del personal Pérdida del personal clave-concentración del conocimiento Negligencia (Descuido-Olvido) Falta de capacitación Ausencia de un régimen de sanciones Procesos de selección de personal inadecuado Accidente de trabajo Enfermedad laboral Actividades no autorizadas Divulgación de información no autorizada Fraude interno Fallas en la definición de perfiles y usuarios
3 Tecnología de la
información
Falta de capacidad de las telecomunicaciones Falta de capacidad del hardware Debilidades en la seguridad informática Errores en el diseño de interfaces Errores en el diseño de los aplicativos Errores en la parametrización de las transacciones/productos Fallas en la implementación de perfiles de usuarios Fallas en el funcionamiento de hardware Mal funcionamiento de software Software inapropiado/incompatible Fallas en redes Errores o debilidades en la estructura de la Base de Datos
4 Eventos Externos
Fallas en el suministro de energía Catástrofes naturales Disturbios civiles Actos terroristas Incumplimiento de contratos de terceros Fraude externo/asalto/robo Negligencia profesional de terceros Cambios en las regulaciones/leyes Disposiciones gubernamentales La intrusión en los sistemas informáticos La intrusión en Instalaciones Físicas
Fuente: Investigación de Campo* Elaboración: GUERRERO, Diana (2015)
*Esta tabla ha sido creada en base a la experiencia en la Administración de Riesgo Operativo y puede ser modificada conforme el nuevo aprendizaje adquirido en el tiempo
Luego de realizar este trabajo, se debe tener como resultado la Matriz con riesgos identificados.
22
Figura 4.- Diagrama de Flujo Procedimiento de Identificación
Diagrama de Flujo de Identificación
PROVEEDOR ENTRADA Riesgo OperativoEquipo de trabajo
TallerSALIDA CLIENTE
Planeación
Revisa la
documentación
relacionada al
proceso evaluado
Leyes, Normativas
legales, Resoluciones,
Manuales y Políticas,
Procedimientos,
Instructivos, Registros,
Actas, informes de
Auditorias, etc.
Identifica
debilidades
Define potenciales
riesgo en base a
las debilidades
Determina el Tipo
de Perdida
Entrevista al
personal
involucrado en el
proceso
Conforma el
equipo de trabajo
y convoca al taller
Ratifican la
existencia del
Riesgo
Confirma la
debilidad asociada
al riesgo
Clasifica la
debilidad según
Factor de Riesgo
Clasifica el Tipo
de Debilidad
Medición
Decisión sobre los
procesos a ser
evaluados
2
3 3
3
Realiza Matriz
preliminar de
Riesgos3
4 4
Matriz con
Riesgos
Identificados4
DOCUMENTOS:
2.- Acta de Reunión
3.- Matriz Preliminar de Riesgos
4.- Matriz con Riesgos
Identificados
Nomenclatura de Diagramas de Flujo utilizado.
SUBPROCESO PROCESO DOCUMENTO DECISION CONECTOR
FO
RM
AS
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
23
5.1.3. Procedimiento de Medición
El equipo de trabajo define el criterio de cálculo para la determinación del Impacto y frecuencia para
cada Riesgo Identificado, y se procede con la medición.
Para definir la Frecuencia se podrá utilizar la siguiente metodología:
Tabla 3.- Metodología de Frecuencia
Probabilidad Frecuencia Fórmula Límite Superior
Baja = 1 vez al año (1 vez / 360 días) 0,28%
Media Baja = 1 vez al semestre (2 veces / 360 días) 0,56%
Medía = 1 vez al mes (12 veces / 360 días) 3,33%
Medía Alta = 1 vez a la semana (52 veces / 360 días) 14,44%
Alta = Todos los días (360 veces / 360 días) 100,00% Fuente: Investigación de Campo*
Elaboración: GUERRERO, Diana (2015)
*Esta tabla ha sido creada en base a la experiencia en la Administración de Riesgo Operativo y puede ser modificada conforme el nuevo aprendizaje adquirido en el
tiempo
Tabla 4.- Definición de Frecuencia
Probabilidad Límite Inferior Límite Superior
1.Baja 0,00% 0,28%
2.Media Baja 0,29% 0,56%
3.Media 0,57% 3,33%
4.Media Alta 3,34% 14,44%
5.Alta 14,45% 100,00% Fuente: Investigación de Campo*
Elaboración: GUERRERO, Diana (2015)
*Esta tabla ha sido creada en base a la experiencia en la Administración de Riesgo Operativo y
puede ser modificada conforme el nuevo aprendizaje adquirido en el tiempo
24
Para determinación del impacto la Institución debe definir cuanto está dispuesto a perder
económicamente por la materialización de un evento de riesgo operativo, en la experiencia adquirida se
recomienda realizar esta medición en base a la utilidad de la Compañía, a continuación se ejemplifica
esta metodología, la cual será utilizada como modelo para el Sistema Propuesto:
Tabla 5.- Metodología de Impacto
Utilidad ejercicio anterior (Eje: 2014) $ 2’000.000,00
% máximo dispuesto a perder 1%
Pérdida máxima aceptada $ 20.000,00 Fuente: Investigación de Campo
Elaboración: GUERRERO, Diana (2015)
En base a la definición de la Tabla 5, se debe crear los rangos de impacto, para la medición de los
potenciales eventos, a continuación se ejemplifica la definición del impacto:
Tabla 6.- Definición del Impacto
Impacto Límite inferior Límite Superior
Insignificante $ 0,00 $ 2.000,00
Menor $ 2.001,00 $ 5.000,00
Moderado $ 5.001,00 $ 10.000,00
Significativo $ 10.001,00 $ 20.000,00
Catastrófico Más de $ 20.000,00 Fuente: Investigación de Campo
Elaboración: GUERRERO, Diana (2015)
Una vez que se ha realizado la medición de la frecuencia e impacto de cada Riesgo Identificado, se
debe aplicar la conjugación de estos dos elementos, y definir el nivel de Riesgo para cada evento, para
esta actividad se ha elaborado la siguiente Matriz de Riesgos:
25
Tabla 7.- Matriz de Riesgos
Probabilidad Impacto Nivel de Riesgo Color:
Baja Insignificante Riesgo Bajo
Baja Menor Riesgo Bajo
Baja Moderado Riesgo Bajo
Baja Significativo Riesgo Medio
Baja Catastrófico Riesgo Medio
Media Baja Insignificante Riesgo Bajo
Media Baja Menor Riesgo Medio
Media Baja Moderado Riesgo Medio
Media Baja Significativo Riesgo Medio
Media Baja Catastrófico Riesgo Alto
Media Insignificante Riesgo Bajo
Media Menor Riesgo Medio
Media Moderado Riesgo Medio
Media Significativo Riesgo Alto
Media Catastrófico Riesgo Alto
Media Alta Insignificante Riesgo Medio
Media Alta Menor Riesgo Medio
Media Alta Moderado Riesgo Alto
Media Alta Significativo Riesgo Alto
Media Alta Catastrófico Riesgo Catastrófico
Alta Insignificante Riesgo Medio
Alta Menor Riesgo Alto
Alta Moderado Riesgo Alto
Alta Significativo Riesgo Catastrófico
Alta Catastrófico Riesgo Catastrófico
Fuente: AS/NZS 4360:1999 Estándar Australiano – Administración de Riesgos: Australia [3]
Elaboración: GUERRERO, Diana (2015)
26
Figura 5.- Matriz de Riesgos Gráfica
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
Dependiendo de la exposición al Riesgo del Gobierno Corporativo Institucional, la organización debe
definir el nivel de Tolerancia, el cual podría ser los Riesgos que en su Nivel se han categorizado en
“Riesgo Medio, Alto y Catastrófico”, los cuales deben ser Controlados y Mitigados, priorizando los que
generan mayor impacto económico para la Institución Financiera, Los Riesgos en Nivel Bajo son los
riesgos aceptados por la Institución, por lo tanto no deben ser gestionados.
Finalmente se debe identificar el Proceso y los Procedimientos afectados además del Tipo de Riesgo
Nivel 1 y Nivel 2 en base a la siguiente tabla:
5. A
LTA
De
14
,45
% a
10
0%
4. M
EDIA
ALT
A
De
3,3
4%
a
14
,44
3. M
EDIA
De
0,5
7%
a
3,3
3%
2. M
EDIA
BA
JA
De
0,2
9%
a
0,5
6%
1. B
AJA
De
0,0
0%
a
0,2
8%
De $ 0,00 a $
2.000,00
De $ 2.001,00 a $
5.000,00
De $ 5.001 a $
10.000,00
De $ 10.000,00 a $
20.000,00Más de $ 20.000,00
1. INSIGNIFICANTE 2. MENOR 3. MODERADO 4. SIGNIFICANTE5. MUY
SIGNIFICATIVO
IMPACTO
FREC
UEN
CIA
MATRIZ DE RIESGOS GRAFICA
27
Tabla 8.- Categorías de Eventos
Categorías de Eventos
(Nivel 1) Definición Categorías (Nivel 2) Ejemplos (Nivel 3)
Fraude Interno
Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o
a soslayar regulaciones, leyes o políticas empresariales (excluido los
eventos de diversidad / discriminación) en las que se encuentra implicada, al
menos, una parte interna a la empresa [11]
Actividades no autorizadas
Operaciones no reveladas (intencionalmente) Operaciones no autorizadas (con pérdidas
pecuniarias) Valoración errónea de posiciones (intencional)
Hurto y fraude
Fraude / fraude crediticio / depósitos sin valor. Hurto/ extorsión/ malversación / robo.
Apropiación indebida de activos. Destrucción maliciosa de activos
Falsificación Utilización de cheques sin fondos
Contrabando Apropiación de cuentas / fingimiento de
personalidad/ etc. Incumplimiento / evasión de impuestos
(Intencional) Sobornos / Cohechos
Abuso de información privilegiada (no a favor de la empresa)
Fraude Externo
Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o a soslayar la legislación, por parte un
tercero. [11]
Hurto y fraude
Hurto/ robo
Falsificación Circulación de cheques sin fondos
Seguridad de los sistemas Daños por ataques informáticos.
Robo de información (con pérdidas pecuniarias)
Relaciones laborales y
seguridad en el puesto de
trabajo
Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, de higiene o
seguridad en el empleo, del pago de reclamaciones por daños a las
personas, o de eventos de diversidad / discriminación [11]
Relaciones laborales
Cuestiones relativas a remuneración, beneficios sociales, extinción de contratos.
Organización de la actividad laboral
Salud y seguridad en el puesto de trabajo
Responsabilidad común (resbalones, etc.) Eventos relacionados con las normas de higiene y seguridad
en el trabajo. Indemnizaciones a los trabajadores.
Diversidad y discriminación
Todo tipo de discriminación.
Prácticas con clientes, productos y
negocios.
Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación
profesional frente a clientes concretos (incluidos requisitos fiduciarios y de
adecuación), o de la naturaleza o diseño de un producto. [11]
Adecuación, divulgación de información y
confianza
Abusos de confianza / incumplimiento de pautas
Aspectos de adecuación / divulgación de información [know your customer (KYC), etc.]
Quebrantamientos de la revelación de información sobre clientes minoristas.
Violación de privacidad. Ventas agresivas
Confusión de cuentas. Abuso de información confidencial. Responsabilidad del prestamista.
Prácticas inadecuadas de negocio o de mercado
Prácticas ajenas a la competencia
Prácticas inadecuadas de negociación / mercado. Manipulación del mercado
Abuso de información privilegiada (a favor de la empresa)
Actividades no autorizadas. Blanqueo de dinero
Defectos del producto Defectos del Producto (no autorizado, etc.)
Errores de los modelos
Selección, patrocinio y exposición.
Ausencia de investigación a clientes conforme a directrices.
Superación de los límites de exposición frente a clientes
Actividades de asesoramiento
Litigios sobre resultados de las actividades de asesoramiento
Daños de activos
materiales
Pérdidas derivadas de daños o perjuicios a activos materiales como
consecuencia de desastres naturales u otros acontecimientos. [11]
Desastres y otros acontecimientos
Pérdidas por desastres naturales
Pérdidas humanas por causas externas (terrorismo, vandalismo)
28
Incidencias del negocio y fallos en los
Sistemas
Pérdidas derivadas por fallos en los sistemas informáticos de la
Entidad. [11] Sistemas
Hardware defectuoso
Software defectuoso Telecomunicaciones
Interrupción de Servicios
Ejecución, entrega y
gestión de procesos
Pérdidas derivadas de errores en el procesamiento de operaciones o en
la gestión de procesos, así como de relaciones con contrapartes
comerciales y proveedores. [11]
Recepción, ejecución y mantenimiento de
operaciones
Comunicación defectuosa
Errores de introducción de datos, mantenimiento o carga.
Incumplimiento de plazos o de responsabilidades Funcionamiento erróneo de modelos / sistemas
Error contable / atribución a entidades erróneas. Errores en otras tareas.
Fallo en la entrega Fallo en la gestión colateral
Mantenimiento de datos de referencia
Seguimiento y comunicación de
informes
Incumplimiento de la obligación de informar
Inexactitud de informes externos (con generación de pérdidas)
Admisión de clientes y documentación
Inexistencia de autorizaciones / rechazos de clientes
Documentos jurídicos inexistentes / incompletos
Gestión de cuentas de clientes
Acceso no autorizado a cuentas Registros incorrectos de clientes (con generación
de pérdidas). Pérdida o daño por negligencia de activos de
clientes
Contrapartes comerciales
Prácticas inadecuadas de contrapartes distintas de clientes
Otros litigios con contrapartes distintas de clientes
Distribuidores y proveedores
Externalización - Tercerización Litigios con distribuidores
Riesgo Legal
Es la probabilidad de que una Institución Financiera sufra pérdidas
directas o indirectas; de que sus activos se encuentren expuestos a
situaciones de mayor vulnerabilidad; de que sus pasivos y contingentes
puedan verse incrementados más allá de los niveles esperados, o de que el
desarrollo de sus operaciones enfrente la eventualidad de ser afectado negativamente, debido a error,
negligencia, impericia, imprudencia o dolo, que deriven de la inobservancia, incorrecta o inoportuna aplicación de disposiciones legales o normativas, así
como de instrucciones de carácter general o particular emanadas de los
organismos de control; o en sentencias o resoluciones jurisdiccionales o administrativas adversas; o de la
deficiente redacción de los textos, formalización o ejecución de actos, contratos o transacciones, inclusive
distintos a los de su giro ordinario de negocio, o porque los derechos de las
partes contratantes no han sido claramente estipulados. [11]
Riesgo legal en actos societarios
Son todos aquellos procesos jurídicos que se debe realizar en orden a ejecutar y perfeccionar las
decisiones de la Junta General de Accionistas y del Directorio, necesarios para su desenvolvimiento
societario. Cuando la falla o insuficiencia atenta a la naturaleza jurídica de la Institución;
Riesgo legal en gestión de crédito
Es el conjunto de actividades que debe ejecutar la Institución relacionadas con el otorgamiento de
operaciones crediticias. Se inicia con la recepción de la solicitud de crédito y termina con la recuperación del valor prestado y sus intereses. Incluye la gestión
de recuperación de cartera tanto judicial como extrajudicial, la misma que debe proseguir aun
cuando la operación crediticia hubiere sido castigada.”
Riesgo legal en operaciones del giro
financiero
Es el conjunto de actividades o procesos que realiza la Institución para la ejecución de
operaciones propias del giro financiero, distintas a la gestión de crédito;
Riesgo legal en actividades
complementarias de las operaciones del giro
financiero
Es el conjunto de actividades o procesos que debe ejecutar la Institución que sin ser propias del giro financiero, son necesarias para el cumplimiento y
desarrollo de su objeto social.
Riesgo legal en cumplimiento legal y
normativo
Es el proceso mediante el cual la institución controla que sus actividades y sus operaciones se ajusten a las disposiciones legales y normativas
vigentes, así como la capacidad de adecuarse rápida y efectivamente a nuevas disposiciones legales y
normativas. Fuente: Resolución JB-834 Superintendencia de Bancos y Seguros
Elaboración: GUERRERO, Diana (2015)
29
Figura 6.- Diagrama de Flujo Procedimiento de Medición
Diagrama de Flujo de Medición
PROVEEDOR ENTRADAEquipo de trabajo
TallerSALIDA CLIENTE
Identificación
Define el criterio del
cálculo para la
determinación del
Impacto y Frecuencia
Define la fórmula
de estimación de
Cálculo del
Impacto
Calculo
económico del
Impacto
Define la
estimación de la
Frecuencia
Determina Nivel
de Riesgos
Establece el
Proceso, y
Procedimiento
Selecciona el Tipo
de Riesgo Nivel 1
y Nivel 2
Control
Matriz con
Riesgos
Identificados
45 5
5 5
5, 6 7
7
Matriz con
Riesgos Medidos
5, 6, 7
DOCUMENTOS:
4.- Matriz con Riesgos
Identificados
5.- Matriz con Riesgos Medidos
6.- Matriz con Nivel de Riesgos
7.- Matriz de Riesgos por Tipo
de Riesgo
Nomenclatura de Diagramas de Flujo utilizado.
SUBPROCESO PROCESO DOCUMENTO DECISION CONECTOR
FO
RM
AS
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
30
5.1.4. Procedimiento de Control.-
El equipo de trabajo en el taller, para cada Riesgo Medido y No Aceptado; debe definir un Plan de
Acción que este orientado a las debilidades asociadas. Una debilidad puede estar relacionada a varios
planes de acción.
También se debe definir el objetivo de Mitigación, en base a la siguiente tabla:
Tabla 9.- Objetivos de Mitigación
Objetivo de Mitigación Definición
Correctivos Nos ayudan a corregir las debilidades
Detectivos Nos ayudan a detectar cuando se materializa un Riesgo
Preventivos Nos ayuda a prevenir la materialización de Riesgos Fuente: Investigación de Campo
Elaboración: GUERRERO, Diana (2015)
El siguiente paso consiste en establecer la Contribución a la Mitigación, la cual se clasifica en los
siguientes elementos:
Tabla 10.- Contribución a la Mitigación
Contribución a la Mitigación Definición
Progresiva Conforme avanza la ejecución del Plan de Acción se va mitigando la debilidad
A Termino La debilidad se mitiga una vez finalizado e implementado el Plan de acción
Asumido Se asume la debilidad identificada (conforme Política General de riesgos asumidos)
No Gestionable Riesgos que se encuentran dentro del límite aceptado
Indefinido
Estatus transitorio cuando no se ha determinado con exactitud el plan de mitigación que debe implementarse, o no se han definido los responsables o la fecha de implementación de los mismos.
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
Se recomienda que un plan de mitigación se encuentre en Indefinido máximo por un mes, para
evitar pérdidas ocasionadas por la posible materialización de eventos.
31
Finalmente, para cada plan de acción se debe definir un Responsable y una Fecha de Cumplimiento,
la cual será monitoreada por el Responsable de Riesgo Operativo de la Institución.
El Comité de Administración Integral de Riesgos (CAIR), es el ente responsable de revisar los planes
propuestos y aprobarlos para su ejecución, si el CAIR no está de acuerdo con la implementación de
algún plan propuesto, este deberá ser revisado nuevamente por el equipo de trabajo para su replanteo.
32
Figura 7.- Diagrama de Flujo Procedimiento de Control
Diagrama de Flujo Control
PROVEEDOR ENTRADAEquipo de trabajo
TallerCAIR SALIDA CLIENTE
Medición
Define Planes de
Acción para atacar
las debilidades
identificadas
Define el Objetivo
del Plan de
Mitigación
Determina la
Contribución a la
Mitigación
Define: Fecha de
Cumplimiento y
Responsables.
Revisa la matriz
propuesta
Está de
acuerdo?SI Monitoreo
NO
Matriz con
Riesgos Medidos
5, 6, 7 8 8
8 8
Matriz con Planes
de Acción
8
2
Matriz de Riesgos
aprobada
8
DOCUMENTOS:
2.- Acta de Reunión
5.- Matriz con Riesgos Medidos
6.- Matriz con Nivel de Riesgos
7.- Matriz de Riesgos por Tipo
de Riesgo
8.- Matriz de Riesgos con
Planes de acción
Nomenclatura de Diagramas de Flujo utilizado.
SUBPROCESO PROCESO DOCUMENTO DECISION CONECTOR
FO
RM
AS
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
33
5.1.5. Procedimiento de Monitoreo.-
El Monitoreo en el Sistema Modelo de Administración de Riesgo Operativo, principalmente se basa
en la ejecución del seguimiento de la implementación de los planes de acción aprobados por el CAIR,
este trabajo lo ejecuta el Responsable de Riesgo Operativo de la Organización.
Adicionalmente y como valor agregado se puede emitir reportes para el CAIR, que provean la
siguiente información:
Nivel de exposición de Riesgos
Exposición por factor de Riesgo
Exposición por Tipo de Riesgo
Exposición por Proceso o Procedimiento
Y los demás reportes que el CAIR solicite generar para su revisión y monitoreo
de Riesgo Operativo.
El Monitoreo de los planes de acción deben ser presentados periódicamente al CAIR, el cual debe
revisar y emitir conclusiones y resoluciones orientadas al mejoramiento continuo del Sistema.
34
Figura 8.- Diagrama de Flujo Procedimiento de Monitoreo
Diagrama de flujo Monitoreo
PROVEEDOR ENTRADAResponsable del Plan
de Acción
Responsable de
Riesgo OperativoCAIR SALIDA CLIENTE
SAROL
Control
Realiza
Seguimiento
Reporta los
avances de los
Planes de Acción
Genera Reportes
de avances y de
Niveles de
Riesgos
Revisa reportes y
emite sus
Conclusiones y
Recomendaciones
SAROL
Matriz de Riesgo
aprobada
89
10
Conclusiones y
Recomendaciones
del CAIR
2
DOCUMENTOS:
2.- Acta de Reunión
8.- Matriz de Riesgos con
Planes de acción
9.- Seguimientos planes de
acción
10.- Informe de Riesgo
Operativo
Nomenclatura de Diagramas de Flujo utilizado.
SUBPROCESO PROCESO DOCUMENTO DECISION CONECTOR
FO
RM
AS
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
35
5.2. Evaluación preliminar
A continuación se presenta la ejemplificación de la aplicación metodológica en una Institución
Financiera del entorno:
5.2.1. Procedimiento de Planificación.-
Aplicación de la Matriz de Procesos Críticos: Esta matriz está conformada por los siguientes
elementos:
DATOS GENERALES:
a. Responsable:
b. Fecha de elaboración de la matriz
INFORMACIÓN DE PROCESOS INSTITUCIONALES:
a. Macro-proceso
b. Proceso
c. Procedimiento
CRITERIOS DE MEDICIÓN BASADOS EN LA CONTINUIDAD DEL NEGOCIO
a. Nivel de Criticidad ante un desastre grave:
i. Crítico (Peso para ponderación: 0,50)
ii. Esencial (Peso para ponderación: 0,30)
iii. Necesario (Peso para ponderación: 0,15)
iv. Deseable (Peso para ponderación: 0,05)
b. Tiempo mínimo de Recuperación:
i. Nunca se debe suspender (Peso para ponderación: 0,30)
ii. Hasta 8 horas laborables (Peso para ponderación: 0,25)
iii. Hasta 3 días laborables (Peso para ponderación: 0,18)
iv. Hasta 1 semana (Peso para ponderación: 0,12)
v. Hasta 2 semanas (Peso para ponderación: 0,10)
vi. Hasta 1 mes (Peso para ponderación: 0,05)
36
c. Nivel de servicio mínimo requerido:
i. 100% operativo (Peso para ponderación: 0,50)
ii. 75% operativo (Peso para ponderación: 0,30)
iii. 50% operativo (Peso para ponderación: 0,15)
iv. 25% operativo (Peso para ponderación: 0,05)
d. Imagen afectada:
i. Alta (Peso para ponderación: 0,60)
ii. Media (Peso para ponderación: 0,30)
iii. Baja (Peso para ponderación: 0,10)
Con esta matriz se realizó un taller con los dueños de los procesos Institucionales, y posteriormente
se procedió con la tabulación de la información, lo que dio como resultado el siguiente ranking de
macro procesos críticos en la organización:
1. Caja
2. Captaciones
3. Otorgamiento de Crédito
4. Tesorería y administración del flujo de efectivo
5. Tecnología de la Información y Comunicación
6. Gestión Contable
Esta información fue presentada al CAIR, quien, por la importancia del proceso en la organización,
decidió trabajar en el macro-proceso de Otorgamiento de Crédito.
Se ejecutó la siguiente planificación de trabajo:
37
Tabla 11.- Planificación de Trabajo
No. Actividad Responsable Comienzo Fin Observaciones
IDENTIFICACION 1 Revisión de documentación
relacionada al proceso Responsable de Riesgo Operativo
3-nov-2014 7-nov-2014
2 Identificación de debilidades del proceso
Responsable de Riesgo Operativo
10-nov-2014 11-nov-2014
3 Definición de potenciales riesgos y tipo de pérdidas
Responsable de Riesgo Operativo
13-nov-2014 13-ov-2014
4 Entrevista con los responsables del proceso
Responsable de Riesgo Operativo
14-nov-2014 14-nov-2014
5 Levantamiento de la matriz de riesgos preliminar
Responsable de Riesgo Operativo
17-nov-2014 17-nov-2014
6 Taller de levantamiento de eventos de Riesgo
Equipo de trabajo asignado
18-nov-2014 18-nov-2014
MEDICION 7 Definición de criterios de
cálculo para determinación de Impacto y frecuencia
Equipo de trabajo asignado
19-nov-2014 19-nov-2014
8 Cálculo económico del impacto Equipo de trabajo asignado
20-nov-2014 21-nov-2014
9 Estimación de la frecuencia Equipo de trabajo asignado
24-nov-2014 24-nov-2014
10 Determinación del Nivel de Riesgos
Equipo de trabajo asignado
25-nov-2014 25-nov-2014
11 Definición de los procesos y procedimientos afectados
Equipo de trabajo asignado
25-nov-2014 25-nov-2014
12 Selección de Tipo de Riesgos Equipo de trabajo asignado
25-nov-2014 25-nov-2014
CONTROL 13 Definición de planes de acción Equipo de trabajo
asignado 01-dic-2014 01-dic-2014
14 Definición de Objetivos de Mitigación
Equipo de trabajo asignado
01-dic-2014 01-dic-2014
15 Definición de la Contribución a la Mitigación
Equipo de trabajo asignado
01-dic-2014 01-dic-2014
16 Definición de Fechas de cumplimiento y Responsables
Equipo de trabajo asignado
01-dic-2014 01-dic-2014
17 Revisión y aprobación de la Matriz de Riesgos
CAIR 11-dic-2014 11-dic-2014
18 Ejecución de los planes de acción
Responsable de cada plan
Conforme plan aprobado
Conforme plan aprobado
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
El equipo de trabajo asignado fue el siguiente:
Gerente de Negocios
Gerente de Operaciones
Gerente de TIC’s
Gerente de Talento Humano
38
Oficial de Cumplimiento
Oficial de Seguridad de la Información
Auditor Interno
Responsable de Riesgo Operativo
5.2.2. Procedimiento de Identificación.-
Conjuntamente con el Responsable de Riesgo Operativo se revisó la siguiente documentación
relacionada al proceso de Otorgamiento de Crédito:
Manuales, políticas y procedimientos internos
Instructivos y registros
Actas de Reunión
Informes de procesos de Auditoría
Entre otros documentos
Con esta información se levantaron las debilidades del proceso evaluado, para la ejemplificación de
la metodología se han seleccionado las siguientes debilidades:
1. Errores en el análisis de la capacidad de pago del cliente, debido a que las políticas han sido
definidas de manera muy general
2. Clientes inubicables por falta de confirmación de datos
3. Errores en el ingreso de datos de los clientes y relación con garantías
4. Falta de integridad en los datos, la base permite borrar información
5. Falta de control en garantías
6. El procedimiento de investigación no se encuentra estandarizado, se trabaja conforme la
experiencia del personal
7. Las pólizas de seguro no se emiten por toda la vigencia del crédito
8. En ocasiones el cliente firma autorización en blanco para emisión de cheque
9. No se ha analizado segregación de funciones
10. El personal no ha recibido capacitación sobre documentación falsa
11. No se encuentra documentado el procedimiento de créditos castigados
39
12. No existe documentado el procedimiento de paso a instancia legal de clientes morosos
Una vez identificadas las debilidades se procedió a la definición de los potenciales eventos de riesgo
y se asoció un tipo de pérdida:
Tabla 12.- Matriz Preliminar de Riesgos
No. Debilidad Riesgo Tipo de Pérdida
1 Errores en el análisis de la capacidad de pago del cliente, debido a que las políticas han sido definidas de manera muy general
R1: Imposibilidad de Recuperar crédito colocado
Disminución en el valor de los Activos Financieros
2 Clientes inubicables por falta de confirmación de datos
R1: Imposibilidad de Recuperar crédito colocado
Disminución en el valor de los Activos Financieros
3 Errores en el ingreso de datos de los clientes y relación con garantías
R1: Imposibilidad de Recuperar crédito colocado
Disminución en el valor de los Activos Financieros
4 Falta de integridad en los datos, la base permite borrar información
R1: Imposibilidad de Recuperar crédito colocado
Disminución en el valor de los Activos Financieros
5 Falta de control en garantías R1: Imposibilidad de Recuperar crédito colocado
Disminución en el valor de los Activos Financieros
6 El procedimiento de investigación no se encuentra estandarizado, se trabaja conforme la experiencia del personal
R2: Necesidad de constituir mayor monto de provisiones por incremento de cartera vencida
Disminución en el valor de los Activos Financieros
R3: Emisión de operaciones cuya identidad es suplantada
Disminución en el valor de los Activos Financieros
7 Las pólizas de seguro no se emiten por toda la vigencia del crédito
R4: Pérdidas o deterioro de los bienes que garantizan créditos automotrices
Disminución en el valor de los Activos Financieros
8 En ocasiones el cliente firma autorización en blanco para emisión de cheque
R5: Apropiación indebida de valores por desembolsos de crédito
Disminución en el valor de los Activos Financieros
9 No se ha analizado segregación de funciones R5: Apropiación indebida de valores por desembolsos de crédito
Disminución en el valor de los Activos Financieros
10 El personal no ha recibido capacitación sobre documentación falsa
R3: Emisión de operaciones cuya identidad es suplantada
Disminución en el valor de los Activos Financieros
11 No se encuentra documentado el procedimiento de créditos castigados
R6: No castigar las operaciones vencidas de acuerdo a lo establecido en la Ley
Multas y Sanciones
12 No existe documentado el procedimiento de paso a instancia legal de clientes morosos
R2: Necesidad de constituir mayor monto de provisiones por incremento de cartera vencida
Disminución en el valor de los Activos Financieros
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
40
En la Tabla 12, se observa la existencia de 6 Riesgos que se han asociado a las 12 debilidades
identificadas en el proceso de Crédito, los cuales son:
1. R1: Imposibilidad de Recuperar Crédito Colocado.- se refiere a no poder realizar una
cobranza adecuada de los créditos otorgados debido a errores en el análisis de la capacidad
de pago del cliente, a falta de ubicación de clientes por procesos de investigación y
digitación deficientes, no existe control adecuado de garantías de los créditos.
2. R2: Necesidad de constituir mayor monto de provisiones por incremento de cartera
vencida.- se refiere a que por falta de procedimientos estandarizados de investigación de
clientes de crédito, se aprueben operaciones que en el corto plazo se van a vencer por las
condiciones naturales del cliente, lo cual va a generar mayor cantidad de cartera vencida y
por ende se deberá generar mayor gasto de provisión por créditos en mora.
3. R3: Emisión de operaciones cuya identidad es suplantada.- se refiere a que por falta de
procedimientos estandarizados de investigación de clientes de crédito, la Institución podría
ser víctima de delincuentes con identidad suplantada, a los cuales se les emite préstamos
que posteriormente serán irrecuperables.
4. R4: Pérdidas o deterioro de los bienes que garantizan créditos automotrices.- se
refiere a los créditos automotrices, los cuales generalmente son emitidos a cuatro años,
pero las pólizas de seguros de los vehículos se emiten por dos años, siendo el vehículo la
garantía del crédito, este se queda desprotegido por los dos años restantes del crédito.
5. R5: Apropiación indebida de valores por desembolsos de crédito.- se refiere a que se
puede generar un fraude interno al momento que el cliente firma una autorización en
blanco para la emisión de cheques, el Funcionario que recibe el formulario podría colocar
otra información no solicitada por el cliente.
6. R6: No castigar las operaciones vencidas de acuerdo a lo establecido en la Ley .- se
refiere a que la ausencia de un procedimiento estandarizado de créditos castigados,
conforme la normativa legal vigente, podría dejar casos no castigados por la falta de
conocimiento de los Funcionarios, lo cual sería sujeto de observación por parte del
organismo de control.
41
Se convocó al equipo de trabajo para la ejecución del taller, donde se confirmó la existencia de los
Riesgos identificados y se los clasificó por Factor de Riesgo y por Tipo de Debilidad, obteniendo la
siguiente matriz:
Tabla 13.- Matriz de Riesgos con Factor y Tipo de Debilidad
No. Riesgo Factor de Riesgos
Tipo de Debilidad Descripción de la Debilidad
R1 Imposibilidad de recuperar cartera de crédito colocada
Procesos Ausencia de políticas
Errores en el análisis de la capacidad de pago del cliente, debido a que las políticas han sido definidas de manera muy general
Procesos Deficiencias en el proceso de generación y manejo de información
Clientes inubicables por falta de confirmación de datos
Personas Falta de Capacitación Errores en el ingreso de datos de los clientes y relación con garantías
Tecnología de la Información
Errores en el diseño de aplicativos
Falta de integridad en los datos, la base permite borrar información
Procesos Ausencia de Políticas Falta de control en garantías
R2
Necesidad de constituir mayor monto de provisiones por incremento de cartera vencida
Procesos Procesos no documentados
El procedimiento de investigación no se encuentra estandarizado, se trabaja conforme la experiencia del personal
Procesos Procesos no documentados
No existe documentado el procedimiento de paso a instancia legal de clientes morosos
R3 Emisión de operaciones cuya identidad es suplantada
Procesos Procesos no documentados
El procedimiento de investigación no se encuentra estandarizado, se trabaja conforme la experiencia del personal
Personas Falta de Capacitación El personal no ha recibido capacitación sobre documentación falsa
R4 Pérdidas o deterioro de los bienes que garantizan créditos automotrices
Procesos Ausencia de Políticas Las pólizas de seguro no se emiten por toda la vigencia del crédito
R5 Apropiación indebida de valores por desembolsos de crédito
Personas Fraude Interno En ocasiones el cliente firma autorización en blanco para emisión de cheque
Procesos Debilidades en el control interno
No se ha analizado segregación de funciones
R6 No castigar las operaciones vencidas de acuerdo a lo establecido en la Ley
Procesos Procesos no documentados
No se encuentra documentado el procedimiento de créditos castigados
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
Con la finalización de esta matriz se ha concluido el procedimiento de Identificación y como
resultado se obtuvo la Matriz con Riesgos Identificados.
42
5.2.3. Procedimiento de Medición.
A continuación el equipo de trabajo procedió con la definición del criterio de cálculo para el Impacto
y la frecuencia de cada Riesgo Identificado:
Tabla 14.- Matriz de Riesgos con Medición de Impacto y Frecuencia
No. Riesgo Criterio de Cálculo* Frecuencia** Impacto**
R1 Imposibilidad de
recuperar cartera de crédito colocada
I:(total cartera castigada últimos 4 años * % crecimiento anual /# operaciones
castigadas últimos 4 años) F: (#operaciones castigadas en los
últimos 4 años * % crecimiento anual)
3
(3/360= 0,83% ) $ 5.500,00
R2
Necesidad de constituir mayor monto de provisiones por
incremento de cartera vencida
I: Promedio mensual de la variación del gasto de provisión del último año.
F: una vez por mes por requerimiento legal
12
(12/360= 3,33%) $ 18.325,00
R3 Emisión de operaciones
cuya identidad es suplantada
I: Promedio anual de créditos castigados por fraude externo
F: Número de créditos castigados por fraude eterno en el último año
6
(6/360= 1,67%) $ 4.800,00
R4
Pérdidas o deterioro de los bienes que
garantizan créditos automotrices
I: monto promedio de las garantías reales en custodia
F: 3 en un año
3
(3/360= 0,83%) $ 18.317,60
R5 Apropiación indebida de valores por desembolsos
de crédito
I: Monto promedio mensual de desembolso en cheques por emisión de
créditos F: Una vez al año, según los datos
históricos de la Institución
1
(1/360= 0,28%) $ 10.000,00
R6
No castigar las operaciones vencidas de acuerdo a lo establecido
en la Ley
I: Montos promedio de créditos que por sus características deben estar en
estado Castigado correspondientes al año anterior
F: Número de créditos que deberían estar en estado castigado por sus características del año anterior
122
(122/360= 33,89%)
$ 6.780,00
* I= Impacto F= Frecuencia ** Los datos para la obtención de la Frecuencia y el Impacto se encuentran en el Anexo 1
Fuente: Investigación de Campo
Elaboración: GUERRERO, Diana (2015)
El siguiente paso fue la determinación del Nivel de Riesgo en base a la metodología establecida para
este efecto, a continuación se presentan los resultados tanto en la matriz de Riesgos como
gráficamente:
43
Tabla 15.- Matriz con Nivel de Riesgos
No. Riesgo Impacto Frecuencia Nivel de Riesgos*
I F T**
R1 Imposibilidad de recuperar cartera de crédito
colocada $ 5.500,00 3 (3/360= 0,83% )
Mo M RM
R2 Necesidad de constituir mayor monto de
provisiones por incremento de cartera vencida $ 18.325,00 12 (12/360= 3,33%)
S M RA
R3 Emisión de operaciones cuya identidad es
suplantada $ 4.800,00 6 (6/360= 1,67%)
Mn M RM
R4 Pérdidas o deterioro de los bienes que
garantizan créditos automotrices $ 18.317,60 3 (3/360= 0,83%)
S M RA
R5 Apropiación indebida de valores por
desembolsos de crédito $ 10.000,00 1 (1/360= 0,28%)
Mo B RB
R6 No castigar las operaciones vencidas de acuerdo
a lo establecido en la Ley $ 6.780,00 122 (122/360= 33,89%)
Mo A RA
* I= Impacto; F= Frecuencia; T= Total ** Ver Tablas: 3, 4, 5, 6, y 7 Fuente: Investigación de Campo
Elaboración: GUERRERO, Diana (2015)
Figura 9.- Matriz con Nivel de Riesgos Gráfica
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
5. A
LTA
De
14
,45
% a
10
0%
4. M
EDIA
ALT
A
De
3,3
4%
a
14
,44
3. M
EDIA
De
0,5
7%
a
3,3
3%
2. M
EDIA
BA
JA
De
0,2
9%
a
0,5
6%
1. B
AJA
De
0,0
0%
a
0,2
8%
De $ 0,00 a $
2.000,00
De $ 2.001,00 a $
5.000,00
De $ 5.001 a $
10.000,00
De $ 10.000,00 a $
20.000,00Más de $ 20.000,00
1. INSIGNIFICANTE 2. MENOR 3. MODERADO 4. SIGNIFICANTE5. MUY
SIGNIFICATIVO
IMPACTO
FREC
UEN
CIA
MATRIZ DE RIESGOS GRAFICA
R6
R5
R4R3
R2
R1
44
Finalmente se identificó los procesos y procedimientos afectados y el Tipo de Riesgo Nivel 1 y Nivel
2:
Tabla 16.- Matriz de Riesgos Con Tipo de Riesgo Nivel 1 y 2
No. Riesgo Proceso Procedimiento Tipo de Riesgo
Nivel 1 Tipo de Riesgo
Nivel 2
R1 Imposibilidad de
recuperar cartera de crédito colocada
Otorgamiento de Crédito
Investigación Prácticas con
clientes productos y negocios
Prácticas inadecuadas de
negocio o de mercado
R2
Necesidad de constituir mayor monto de provisiones por
incremento de cartera vencida
Otorgamiento de Crédito
Investigación Legal
Riesgo Legal Riesgo legal en cumplimiento
legal y normativo
R3 Emisión de operaciones
cuya identidad es suplantada
Otorgamiento de Crédito
Investigación Fraude Externo Hurto y fraude
R4
Pérdidas o deterioro de los bienes que
garantizan créditos automotrices
Otorgamiento de Crédito
Manual de Políticas y de Otorgamiento de
Crédito
Ejecución entrega y gestión de
procesos
Admisión de clientes y
documentación
R5 Apropiación indebida
de valores por desembolsos de crédito
Gestión de Talento Humano
Perfil de funciones del cargo
Fraude Interno Hurto y fraude
R6
No castigar las operaciones vencidas de acuerdo a lo establecido
en la Ley
Legal Asesoría Jurídica Riesgo Legal Riesgo legal en cumplimiento
legal y normativo
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
5.2.4. Procedimiento de Control.-
El equipo de trabajo en el taller, para cada Riesgo Medido y No Aceptado; definió Planes de Acción
asociados directamente a las debilidades, a continuación se presentan los resultados:
45
Tabla 17.- Matriz de Riesgos con planes de acción
No. Riesgo Factor de Riesgos
Tipo de Debilidad
Descripción de la Debilidad
Plan de acción Objetivo de Mitigación
Fecha de Cumplimiento
Contribución a la Mitigación
Responsable
R1
Imposibilidad de recuperar cartera de crédito colocada
Procesos Ausencia de políticas
Errores en el análisis de la capacidad de pago del cliente, debido a que las políticas han sido definidas de manera muy general
Definir con detalle las políticas de calificación para aprobación de operaciones
Correctivo 09/01/2015 A termino Gerente de Negocios
Procesos
Deficiencias en el proceso de generación y manejo de información
Clientes inubicables por falta de confirmación de datos
Definir políticas para confirmación de datos en función de producto, mercado, segmento, etc. del cliente
Preventivo 09/01/2015 A termino Supervisor de Investigación
Personas Falta de Capacitación
Errores en el ingreso de datos de los clientes y relación con garantías
Planificar una capacitación sobre características especiales de los datos que se ingresan
Preventivo 09/01/2015 A termino Gerente de Talento Humano
Tecnología de la Información
Errores en el diseño de aplicativos
Falta de integridad en los datos, la base permite borrar información
Bloquear el campo de Observaciones dentro del aplicativo
Correctivo 23/01/2015 A termino Gerente de TIC’s
Procesos Ausencia de Políticas
Falta de control en garantías
Diseñar un control automático que alerte sobre garantías cruzadas
Correctivo 23/01/2015 A termino Gerente de TIC’s
R2
Necesidad de constituir mayor monto de provisiones por incremento de cartera vencida
Procesos Procesos no documentados
El procedimiento de investigación no se encuentra estandarizado, se trabaja conforme la experiencia del personal
Replantear el proceso de investigación el cual incluya procedimientos para verificación de datos y mapas mentales de gestión
Correctivo 02/01/2015 A termino Supervisor de investigación
Procesos Procesos no documentados
No existe documentado el procedimiento de paso a instancia legal de clientes morosos
Definir políticas para envío y manejo de operaciones en instancia Legal
Correctivo 15/01/2015 A termino Coordinador Legal
R3 Emisión de operaciones
Procesos Procesos no documentados
El procedimiento de investigación no se
Replantear el proceso de
Correctivo 02/01/2015 A termino Supervisor de investigación
46
cuya identidad es suplantada
encuentra estandarizado, se trabaja conforme la experiencia del personal
investigación el cual incluya procedimientos para verificación de datos y mapas mentales de gestión
Personas Falta de Capacitación
El personal no ha recibido capacitación sobre documentación falsa
Diseñar un proceso de capacitación sobre características de documentos falsificados y mecanismos para su identificación
Preventivo 09/01/2015 A termino Gerente de Talento Humano
R4
Pérdidas o deterioro de los bienes que garantizan créditos automotrices
Procesos Ausencia de Políticas
Las pólizas de seguro no se emiten por toda la vigencia del crédito
Diseñar una estrategia de renovación de pólizas en conjunto con el Broker de Seguros
Preventivo 23/01/2015 A termino Gerente de Negocios
R5
Apropiación indebida de valores por desembolsos de crédito
Personas Fraude Interno
En ocasiones el cliente firma autorización en blanco para emisión de cheque
N/A N/A N/A Asumido N/A
R6
No castigar las operaciones vencidas de acuerdo a lo establecido en la Ley
Procesos Procesos no documentados
No se encuentra documentado el procedimiento de créditos castigados
Levantar el proceso de castigos
Correctivo 16/01/2015 A termino Gerente de Procesos
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
47
El plan propuesto fue presentado al CAIR, quien revisó su contenido y estuvo de acuerdo con el
mismo, por lo tanto procedió con su aprobación.
5.2.5. Procedimiento de Monitoreo.-
El Responsable de Riesgo Operativo, con la Matriz de Riesgos aprobada por el CAIR procedió a
comunicar a cada responsable de ejecución de los planes de acción, para su gestión e implementación
en los tiempos establecidos.
Quincenalmente se realizó el seguimiento de avances de los planes de acción, hasta lograr la
implementación del 100% de los planes, esta información fue reportada al CAIR mensualmente.
Adicionalmente el Responsable de Riesgo Operativo presentó los siguientes reportes de la primera
aplicación metodológica:
Figura 10.- Nivel de exposición de Riesgos – Otorgamiento de Crédito
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
67%
16%
17%
Nivel de exposición de Riesgos Otorgamiento de Crédito
Riesgo Alto
Riesgo Medio
Riesgo Bajo
48
Figura 11.- Nivel de exposición por Factor de Riesgo– Otorgamiento de Crédito
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
Figura 12.- Nivel de exposición por Tipo de Riesgo– Otorgamiento de Crédito
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
69%
23%
8%
Exposición por Factor de Riesgo Otorgamiento de Crédito
PROCESOS
PERSONAS
TI
16%
33%
17%
17%
17%
Nivel de exposición por tipo de Riesgo Otorgamiento de Crédito
PRACTICAS CON CLIENTESPRODUCTOS O NEGOCIOS
RIESGO LEGAL
FRAUDE EXTERNO
EJECUCION ENTREGA Y GESTIONDE PROCESOS
FRAUDE INTERNO
49
Figura 13.- Nivel de exposición por Procesos– Otorgamiento de Crédito
Fuente: Investigación de Campo
Elaboración: GUERRERO, Diana (2015)
Figura 14.- Nivel de exposición por Procedimientos– Otorgamiento de Crédito
Fuente: Investigación de Campo
Elaboración: GUERRERO, Diana (2015)
67%
16%
17%
Nivel de exposición por Procesos Otorgamiento de Crédito
CREDITO
GESTION DEL TALENTOHUMANO
LEGAL
50%
16%
17%
17%
Nivel de exposición por Procedimientos Otorgamiento de Crédito
INVESTIGACION
MANUAL DE POLITICAS YPROCEDIMIENTOS DE CREDITO
PERFIL DE FUNCIONES DELCARGO
ASESORÍA JURÍDICA
50
5.3. Análisis de resultados
En la sección 5 se puede apreciar el Diseño metodológico que representa el modelo de un Sistema de
Administración de Riesgo Operativo y que cumple con los elementos solicitados en la normativa
emitida por la Superintendencia de Bancos del Ecuador, los cuales son: identificar, medir, controlar /
mitigar y monitorear la exposición de Riesgo Operativo.
En la sección 5.1 se observa la metodología aplicada en un proceso crítico organizacional,
identificado en una matriz de priorización de procesos; la aplicación piloto se realiza en el proceso de
Otorgamiento de Crédito donde se desarrollaron las siguientes actividades:
Planificación del trabajo
Identificación de riesgos operativos
Medición de riesgos operativos
Control y mitigación de debilidades que potencialmente pueden materializar los
Riesgos identificados
Monitoreo de planes de acción
Elaboración de gráficos de nivel de exposición por diferentes elementos
analizados en la metodología, que permiten generar reportes y entender mejor
en que frentes debe trabajar la organización para disminuir su grado de
exposición.
Se puede manifestar que los objetivos planteados en la investigación se han cumplido y que la
metodología propuesta es aplicable y cumple con el requerimiento legal.
La metodología propuesta tiene la visión de levantar información de los diferentes procesos
organizacionales, en base a un trabajo priorizado, en el corto plazo se podría evaluar a las principales
actividades del negocio, con lo cual se lograría dos objetivos importantes:
Disminuir el nivel de exposición al Riesgo Operativo
Preparar bases de datos para la generación de modelos estadísticos de
predicción de pérdidas esperadas y generación de provisiones.
51
Es importante recalcar que a menor exposición de Riesgo Operativo, menor generación de gasto de
provisión, lo cual genera mayor utilidad a la Institución Financiera.
A continuación se presenta un formato para recolección de eventos materializados, el cual deberá
ser implementado en toda la organización. Con la información recolectada a través de este formato, se
deberá generar actividades de investigación por parte de los responsables de Riesgo Operativo que
permitirá generara la información para la base de datos de eventos, la cual se ejemplifica en la Tabla 19.
Tabla 18.- Formato para recolección de eventos de pérdida materializados
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
SI: NO:
Para uso exclusivo de Riesgo Operativo:
Fecha de recepción:
Detalles de la investigación:
Reporte de Eventos de Riesgo Operativo
Cómo se recuperó la pérdida:
Fecha de ocurrecia del evento
Recibido por:
Proceso donde se materializó:
Pérdida registrada:
Se recuperó la pérdida? :
Evento de Riesgo Operativo: es un hecho que deriva en una pérdida financiera
para la Insti tución
Fecha de Reporte:
Identificado por:
Descripción del evento:
52
Tabla 19.- Base de datos modelo para pérdidas materializadas
Campos Descripción
Familia de productos Clasificación de la familia de productos, tal como se ha clasificado comercialmente, afectado por el evento de pérdida operacional, por ejemplo: Crédito, Captaciones.
Producto Nombre del producto afectado por el evento de pérdida operacional, por ejemplo: Crédito de consumo, Crédito Comercial, Certificados Financieros, etc.
Afectado Cliente, usuario o empresa afectada, si hubiere.
Cédula/ RUC Número de identificación tributaria del cliente afectado, si aplica.
Línea de negocio Línea de Negocios a la cual pertenece el cliente según la clasificación de la Institución: Banca Minorista.
Área o Unidad Nombre del área o unidad en la cual se produjo el evento que originó la pérdida.
Sucursal o Agencia Nombre de la sucursal o agencia en la cual se produjo el evento que originó la pérdida.
Macro-proceso Nombre del macro-proceso en el cual se ha producido el evento, Ejemplo: Gobernante, Productivos o Habilitantes
Proceso Nombre del proceso en el cual se ha producido el evento, Ejemplo: Crédito, Captaciones, Caja.
Procedimiento Nombre del Procedimiento en el cual se ha producido el evento. (si aplica), Ejemplo: Implementación, Cobranzas, Renovaciones, etc.
Descripción detallada de lo ocurrido
Relato detallado de lo ocurrido. Incluir las causas (fallas e insuficiencias) que originaron el evento de pérdida operacional detectado.
Tipo de evento Clasificación del evento de pérdida operacional según el Capítulo V, del Título X, del Libro I de la Codificación de Resoluciones Bancarias, según Basilea y ANEXO I.
Sub–tipo de evento Clasificación del evento de pérdida operacional según Basilea y según ANEXO I.
Factor de Riesgo Clasificación de las causas que originaron las pérdidas según su fuente (factor de riesgo operacional principal): procesos, personas, tecnología de información o eventos externos.
Fecha inicial Fecha en la cual se considera que comenzó a tener lugar la pérdida.
Fecha final Fecha en la cual se considera que finalizó la ocurrencia de la pérdida.
Fecha de descubrimiento
Fecha en la cual la Institución descubre o es alertado del evento de pérdida.
Área o Unidad que reporta
Nombre de la base de datos (sistema o software), área o unidad que reporta el evento de pérdida. Puede ser un área diferente a la protagonista del evento.
Nombre del que reporta
Nombre de la persona que reporta el evento de pérdida. Puede ser diferente a la protagonista del evento.
Responsabilidad Legal ($)
Consiste en fallos, veredictos, acuerdos y otros costos legales (incluye honorarios de abogados externos), en que ha sido necesario incurrir como consecuencia de la pérdida sufrida.
Acciones Regulatorias ($)
Consiste en el pago de multas o de cualquier otra sanción, como la revocación de una licencia, pérdida de un negocio, etc. Las mismas incluyen los valores pagados por violaciones a las regulaciones y los honorarios pagados a asesores o abogados por representación en juicios relacionados con este tipo de violaciones.
Pérdidas o daños de activos fijos ($)
Consiste en la reducción directa del valor de los activos fijos debido a desastres u otros eventos (por ejemplo: negligencia, accidente, incendio, terremoto, terrorismo).
Restitución a terceros ($)
Consiste en el pago a clientes o terceros por concepto de pérdidas operacionales por las cuales la Institución es legalmente responsable.
Pérdida del Recurso Consiste en pérdidas originadas cuando un tercero no cumple sus obligaciones
53
Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)
($) contractuales con la Institución y este debido a errores operacionales, no puede ejercer sus derechos para efectuar dicho cobro (por ejemplo: una garantía mal constituida).
Costos internos ($) Gastos no esperados para investigar, corregir e implantar soluciones permanentes como consecuencia de las pérdidas operativas. Los costos podrían incluir contratación temporal de personas, re-procesos, consultores, contadores, abogados u horas extras del personal interno. Todos los valores deberían ser los montos efectivamente gastados o incurridos.
Pérdida antes de seguros ($)
Pérdida en la que se incurre antes de gestionar la recuperación por seguros u otro tipo de recuperaciones.
Cantidad recuperada por seguros ($)
Monto recuperado por seguros, si aplica.
Otras recuperaciones ($)
Monto recuperado por vías diferentes a reclamaciones de seguros, si aplica.
Situación de la recuperación por seguros
Indicar si la recuperación por seguros se encuentra en proceso o si ya ha finalizado.
Pérdida operacional total ($)
Es la sumatoria de las pérdidas operacionales.
Ingresos dejados de percibir ($)
Costos de oportunidad y demás ingresos dejados de percibir como consecuencia de la ocurrencia del evento de pérdida.
Fecha de registro Fecha en la cual se ingresa la información del evento de pérdida operacional a la base de datos.
54
Capítulo 6
6. Conclusiones y Recomendaciones
6.1. Conclusiones
En el Sistema Financiero la aplicación de un Sistema de Riesgo Operativo es
normativamente obligatorio y el organismo de control velará por su cumplimiento a través
de procesos de supervisión, por lo que cada Institución debe buscar y adaptar las
metodologías conforme su tamaño, necesidad y disponibilidad de recursos.
La normativa ecuatoriana de Riesgo Operativo se encuentra en su primera fase de
implementación, una vez que el sistema genere resultados, los requerimientos normativos
se volverán más exigentes, hasta llegar a normar requerimientos mínimos de capital a
través de métodos de cálculo que se basarán en la calidad de las bases de datos generadas
en esta primera etapa.
La información que este Sistema genera es de gran relevancia para la Institución, permite
enfocar los esfuerzos hacia las principales debilidades de los procesos y optimizar los
recursos disponibles, por ejemplo:
o Cálculo del nivel de exposición por proceso
o Identificación de los factores que mayor exposición genera dentro de un proceso
o Identificación de los tipos de riesgos con mayor exposición dentro del proceso
o Conocer que procesos y procedimientos internos, presentan un mayor grado de
debilidades y vulnerabilidades en la exposición de riesgo operativo
Mantener un Sistema de Riesgo Operativo efectivo dentro de la organización, apoya
directamente en los procesos de Mejoramiento Continuo y proactivamente previene
pérdidas económicas innecesarias por fallas en los Factores de Riesgo (Procesos, Personas,
Tecnología de la Información y Eventos externos).
55
6.2. Recomendaciones
En este proceso es indispensable el compromiso y conocimiento por parte de la alta
Dirección organizacional, de lo contrario la implementación de este Sistema se limitará a
un cumplimiento normativo y no agregará valor en la Administración Integral de Riesgos.
Generar procesos de sensibilización y capacitación a todos los miembros de la
organización es otro factor indispensable, de esta manera se involucra al personal y se
logra el compromiso y apoyo necesario en la implementación y mantenimiento del sistema.
El Responsable de Riesgo Operativo dentro de la organización debe tener experiencia y
conocimientos sobre la temática de Riesgo Operativo, de lo contrario se deberá invertir en
la formación de la persona seleccionada.
La metodología propuesta únicamente requiere de la herramienta Excel, se recomienda
implementarla y generar resultados con esta herramienta y considerar la adquisición de
paquetes informáticos para una segunda etapa, es decir una vez que se ha consolidado el
conocimiento y la experiencia metodológica.
56
REFERENCIAS
[1] Ana Fernandez-Laviada, La Gestión del Riesgo Operacional: de la teoría a su aplicación, 2007
[2] AIFE, Almeida Miguel, Lo que el personal de la Auditoria Interna debe conocer para evaluar y
mitigar el Riesgo Operacional, 2007
[3] AS/NZS 4360:1999 Estándar Australiano – Administración de Riesgos: Australia, 1999
[4] Carrillo Santiago, Introducción a los riesgos financieros: el riesgo operacional, 2004.
[5] Comité de Supervisión Bancaria de Basilea, Convergencia internacional de medidas y normas de
Capital, Basilea, 2004.
[6] Committe of Sponsoring Organizations of the Treadway Commission (COSO), Administración de
Riesgos Corporativos, Marco Integrado, Resumen Ejecutivo, 2005.
[7] Committe of Sponsoring Organizations of the Treadway Commission (COSO), Administración de
Riesgos Corporativos, Marco Integrado, Técnicas de aplicación, 2005
[8] Heredia Carlos, Gestión de Riesgo Operativo y Plan de Continuidad de Negocio, 2010
[9] Hernández Rubén, Tecnológico de Monterrey, Administración del Riesgo Operativo, 2009
[10] José, Llaguno, Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno,
2005,
[11] Superintendencia de Bancos y Seguros del Ecuador, Normas Generales para la aplicación de la Ley
general de Instituciones del Sistema Financiero, Capítulo V de la Gestión de Riesgo Operativo, 2005
[12] Superintendencia de Bancos y Seguros del Ecuador, Junta Bancaria, Codificación de Resoluciones
Bancarias, 2008.
[13] Superintendencia de Bancos, Seguros y Administración de Fondos de Pensiones del Perú,
Resolución SBS No. 2116, 2009.
57
Resumen Final
Diseño de una metodología de administración de riesgo operativo para la
minimización de pérdidas económicas, basada en la Resolución SBS No. JB-834
Diana Gabriela Guerrero Soria
56 páginas
Proyecto dirigido por: Eco. MG. Telmo Diego Proaño Córdova
El presente documento abarca el Diseño de un sistema modelo de Riesgo Operativo, y se enfoca
particularmente en el cumplimiento normativo y legal ecuatoriano según la resolución JB - 834 emitido
por la Superintendencia de Bancos del Ecuador, el cual se refiere a la implementación obligatoria en
todas las Instituciones Financieras controladas por el ente referido, sobre la Administración del Riesgo
Operativo. [11]
Este tipo de riesgo se encuentra presente de manera implícita en el desarrollo cotidiano de los
procesos y se puede materializar por muchas causas, generando pérdidas en la organización. El método
aplicado en esta investigación es Inductivo – Deductivo, con el cual se estableció la metodología
propuesta, su objetivo es crear procedimientos que permitan Identificar riesgos de manera temprana,
medirlos y conocer el nivel de exposición que representan en la institución, controlarlos a través de
planes de acción en base al apetito de riesgos institucional y generar técnicas de monitoreo del
cumplimiento de mitigantes y del nivel de exposición. [7]
El sistema modelo propuesto ha sido probado en la práctica a través de una prueba piloto y ha
generado un resultado enriquecedor para la Institución. El mantenimiento y mejoramiento del sistema
dependerá del grado de compromiso por parte de la alta dirección y la difusión impartida a los
colaboradores de la entidad, es vital la participación activa de todos los miembros de la organización.
58
ANEXO 1
Cálculo de Impacto y Frecuencia según los criterios de Cálculo definidos en
la Tabla 14.- Matriz de Riesgos con Medición de Impacto y Frecuencia
1. R1: Imposibilidad de Recuperar Crédito Colocado.-
Impacto: (total cartera castigada últimos 4 años * % crecimiento anual / # operaciones
castigadas últimos 4 años)
Tiempo: Total Cartera Castigada: % de Crecimiento: Crecimiento en 4 años:
Año 1 770.000,00
2%
15.400,00
Año 2 785.400,00 15.708,00
Año 3 801.108,00 16.022,16
Año 4 817.130,16 16.342,60
Total Cartera Castigada: 817.130,16
# Operaciones castigadas en los últimos 4 años: 149
Impacto Real: $ 5.500,00
Frecuencia: (#operaciones castigadas en los últimos 4 años * % crecimiento anual)
Tiempo: # Operaciones castigadas % de Crecimiento: Crecimiento en 4 años:
Año 1 140
2%
3
Año 2 143 3
Año 3 146 3
Año 4 149 3
Frecuencia: 3
2. R2: Necesidad de constituir mayor monto de provisiones por incremento de cartera
vencida.-
Impacto: Promedio mensual de la variación del gasto de provisión del último año.
Año 2014 Variación Gasto Provisión
Enero 28.397,00
Febrero 25.679,00
Marzo 15.345,00
Abril 15.438,00
59
Mayo 19.899,00
Junio 17.458,00
Julio 16.547,00
Agosto 12.376,00
Septiembre 1.987,00
Octubre 22.356,00
Noviembre 19.834,00
Diciembre 24.584,00
Promedio Anual 18.325,00
Frecuencia: una vez por mes por requerimiento legal
Frecuencia: 12
3. R3: Emisión de operaciones cuya identidad es suplantada.-
Impacto: Promedio anual de créditos castigados por fraude externo
Operaciones Monto
1 7.000
2 4.500
3 4.800
4 4.000
5 5.000
6 3.500
Promedio 4.800
Frecuencia: Número de créditos castigados por fraude externo en el último año
Frecuencia 6
4. R4: Pérdidas o deterioro de los bienes que garantizan créditos automotrices.-
Impacto: monto promedio de las garantías reales en custodia
Monto garantía $ 16’705.650
Operaciones con garantía 912
Monto Promedio Crédito Automotriz $ 18.317,60
Frecuencia: 3 en un año, según los datos históricos de la Institución
Frecuencia 3
60
5. R5: Apropiación indebida de valores por desembolsos de crédito.-
Impacto: Monto promedio mensual de desembolso en cheques por emisión de créditos
Monto de Cheques emitidos $ 1’800.000,00
Cantidad de cheques emitidos 180
Impacto $ 10.000,00
Frecuencia: 1 vez al año, según los datos históricos de la Institución
Frecuencia 1
6. R6: No castigar las operaciones vencidas de acuerdo a lo establecido en la Ley.-
Impacto: Montos promedio de créditos que por sus características deben estar en estado
Castigado correspondientes al año anterior
Monto promedio de operaciones que por su estado deberían estar castigadas
$ 827.160,00
# de operaciones que por sus características deberían estar castigadas
122
Impacto $ 6.780,00
Frecuencia: Número de créditos que deberían estar en estado castigado por sus
características del año anterior
Frecuencia 122